Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

#keepass

Gruba ryba

w Cybersecurity

19piorunów

KeePass 2.54 released

Co w nowej wersji? Najważniejsza poprawka to usunięcie bug'a CVE-2023-32784 ocenionego na 7,5/10.

Błąd polegał na możliwości wyekstraktowania wpisanego hasła master z pamięci.

Oczywiście aby hasło odczytać, trzeba było najpierw zainfekować komputer złośliwym oprogramowaniem. Sama baza haseł .kbdx nie została złamana.

Co twierdzi badacz o znalezionym bugu?

"If your computer is already infected by malware that's running in the background with the privileges of your user, this finding doesn't make your situation much worse."

Więcej o bug'u.

https://sekurak.pl/ciekawa-podatnosc-w-keepassie-z-dumpa-pamieci-mozna-wyluskac-glowne-haslo-dostepny-jest-proof-of-concept-exploit/

https://github.com/vdohney/keepass-password-dumper

   

Kosmonauta

w Bezpieczeństwo

1piorunów

Exploit KeePass pomaga odzyskać hasło główne w postaci zwykłego tekstu, poprawka wkrótce - OEN.PL

Popularny menedżer haseł KeePass jest podatny na wydobycie hasła głównego z pamięci aplikacji, co pozwala atakującym, którzy złamali urządzenie, na odzyskanie hasła, nawet jeśli baza danych jest zablokowana. Problem został odkryty przez badacza bezpieczeństwa znanego jako

Gruba ryba

w Cybersecurity

2piorunów

Windows plz 😒

Chociaż przyznam się że nie uruchomiłem :smiley:

   

Gruba ryba1piorunów

@Half_NEET_Half_Amazing Owszem, ale to to trochę inna sytuacja. W keepass po odpowiednim zmodyfikowaniu pliku konfiguracyjnego, po następnym "zalogowaniu" wyrzuci nam wszystkie login/hasło do plaintext.txt w wybranej lokalizacji. Jeśli ktoś jeszcze korzysta z naszego komputera, może być problem. Podobnie jeśli ktoś zdalnie przejmie kontrolę nad naszym komputerem. I nie jest to bug, a ficzer :smiley:

Pokaż więcej komentarzy (3)