IT之家 5 月 18 日消息,名為“vdohney”的網(wǎng)絡(luò)專家近日在密碼管理工具 KeePass 中發(fā)現(xiàn)漏洞,追蹤編號為 CVE-2023-32784,可以內(nèi)存中檢索出該軟件的主密碼。
壞消息是 KeePass 官方目前并未修復這個漏洞,好消息是黑客無法通過利用此漏洞遠程提取密碼。安全專家還公開發(fā)布了 KeePass 2.X Master Password Dumper 概念驗證工具。
IT之家翻譯該專家內(nèi)容如下:
如果您的計算機已經(jīng)感染了以用戶權(quán)限在后臺運行的惡意軟件,那么對你的影響可能并不大。
如果有人可以訪問你的電腦并進行取證分析,那么在最糟糕的情況下,攻擊者可以知道你的主密碼。
該漏洞會影響適用于 Windows 的 KeePass 2.X 分支,也可能影響 Linux 和 macOS。該漏洞已在 KeePass v2.54 的測試版本中修復,正式發(fā)布預計將于 2023 年 7 月發(fā)布。
注:KeepassXC 不受影響。它是 KeepassX 的一個分支,是 KeePass 的跨平臺端口
相關(guān)閱讀:
《密碼管理工具 KeePass 被爆安全漏洞:允許攻擊者以純文本形式導出整個數(shù)據(jù)庫》
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。