Laut Bleeping Computer könnte eine neu entdeckte Speicherauszugsschwachstelle in der KeePass-Anwendung es Angreifern ermöglichen, Master-Passwörter im Klartext abzurufen, selbst wenn die Datenbank gesperrt oder das Programm geschlossen ist. Dieser kritische Patch wird frühestens Anfang Juni verfügbar sein.
Diese Sicherheitslücke wurde von einem Sicherheitsforscher gemeldet, der einen Proof of Concept veröffentlichte, der sie erfolgreich ausnutzte. Ein Angreifer kann dann Memory Scraping durchführen, um das Master-Passwort im Klartext zu erfassen, selbst wenn die KeePass-Datenbank geschlossen, das Programm gesperrt oder gar nicht geöffnet ist. Beim Abrufen aus dem Gedächtnis fehlen zwar die ersten ein oder zwei Zeichen des Passworts, dann lässt sich aber die gesamte Zeichenfolge erraten.
Der Exploit ist für Windows-Plattformen geschrieben, aber Linux und macOS sollen ebenfalls anfällig sein, da das Problem innerhalb von KeePass und nicht im Betriebssystem besteht. Um Passwörter auszuspähen, benötigt ein Angreifer Zugriff auf einen Remotecomputer (erlangt durch Malware) oder direkt auf den Computer des Opfers.
Betroffen sind laut Sicherheitsexperten alle KeePass 2.x-Versionen. KeePass 1.x, KeePassXC und Strongbox – andere mit der KeePass-Datenbankdatei kompatible Passwortmanager – sind jedoch nicht betroffen.
Der Fix wird in KeePass Version 2.54 enthalten sein, die Anfang Juni veröffentlicht werden könnte.
Neue Sicherheitslücke gefährdet KeePass, da noch kein Patch verfügbar ist
Es gibt jetzt eine instabile Testversion von KeePass mit entsprechenden Abwehrmaßnahmen, aber ein Bericht von Bleeping Computer besagt, dass es dem Sicherheitsforscher nicht gelungen ist, den Passwortdiebstahl aufgrund der Sicherheitslücke zu reproduzieren.
Doch auch nach dem Upgrade von KeePass auf eine korrigierte Version können Passwörter weiterhin in den Speicherdateien des Programms angezeigt werden. Für einen vollständigen Schutz müssen Benutzer den Computer durch Überschreiben vorhandener Daten vollständig löschen und anschließend ein neues Betriebssystem installieren.
Experten raten, dass ein gutes Antivirenprogramm diese Möglichkeit minimiert und dass Benutzer ihr KeePass-Masterkennwort ändern sollten, sobald die offizielle Version verfügbar ist.
[Anzeige_2]
Quellenlink
Kommentar (0)