KeePass: vita a sérülékenységről
A KeePass jelszókezelő fejlesztői vitatják egy újonnan talált sebezhetőségét. A KeePass egy nagyon népszerű nyílt forráskódú jelszókezelő, amely lehetővé teszi a jelszavak kezelését egy helyileg tárolt adatbázisban, nem pedig egy felhőben tárolt adatbázissal, mint például a LastPass vagy a Bitwarden.
Az új sérülékenység (CVE-2023-24055) lehetővé teszi a célrendszerhez írási hozzáféréssel rendelkező fenyegetések számára, hogy módosítsák a KeePass XML konfigurációs fájlt, és olyan rosszindulatú triggert fecskendezzenek be, amely exportálja az adatbázist, közte az összes felhasználónevet és jelszót is. Amikor a célpont elindítja a KeePass programot, és megadja a fő jelszót az adatbázis megnyitásához és visszafejtéséhez, az exportszabály aktiválódik, és az adatbázis tartalma egy fájlba kerül, amelyet a támadók később átszivároghatnak az irányításuk alatt álló rendszerbe.
A KeePass szerint ez az üzemeltetési környezet hibája és nem az alkalmazásé, ezért Ők nem tudnak javítást kiadni erre a sérülékenységre varázsütésre.