KeePass güvenlik açığı kullanıcı parolalarının tehlikeye girmesine neden oldu. Parolalar, düz metin olarak ortaya çıkarabilir.
KeePass şifre yöneticisi kullanıcıları, yeni keşfedilen bir güvenlik açığı ile tehlike altında. Açık, veritabanı kilitli veya program kapalı olsa bile ana parolanın düz metin olarak alınmasına olanak tanıyor. KeePass bunun için düzeltme üzerinde çalışılırken, en erken Haziran başına kadar gelmeyecek.
KeePass sorunu henüz düzeltemedi
Bleeping Computer tarafından bildirildiği üzere, vdohney olarak bilinen bir güvenlik araştırmacısı, istismarı eylem halinde gösteren bir kavram kanıtı aracı yayınladı. Saldırgan, bir KeePass veritabanı kapalı, program kilitli veya program artık açık değilken bile ana parolanın çoğunu düz metin olarak toplamak için bir bellek dökümü gerçekleştirebiliyor. Hafızadan çıkarıldığında, şifrenin ilk bir veya iki karakteri eksik olacaktır, ancak daha sonra tüm diziyi bulmak için tahmin edilebiliyor.
Sorun işletim sisteminde değil KeePass’ta olduğu için Linux ve macOS’un da savunmasız olduğuna inanılıyor. Windows’taki standart kullanıcı hesapları da güvenli değildir; belleği boşaltmak yönetici ayrıcalıkları gerektirmez. Açıktan yararlanmayı gerçekleştirmek için, kötü niyetli bir aktörün bilgisayara uzaktan (kötü amaçlı yazılım yoluyla elde edilen) veya fiziksel olarak erişmesi gerekir.
KeePass 2.x’in mevcut tüm sürümleri (örn. 2.53.1) bu açıktan etkileniyor. Ayrıca KeePass veritabanı dosyalarıyla uyumlu diğer parola yöneticileri olan KeePass 1.x (programın halen sürdürülmekte olan eski bir sürümü), KeePassXC ve Strongbox vdohney’e göre etkilenmez.
Bu güvenlik açığı için bir düzeltme, muhtemelen Haziran başında piyasaya sürülecek olan KeePass 2.54 sürümünde gelecek. KeePass’ın geliştiricisi Dominick Reichl, bu tahmini bir sourceforge forumunda, zaman çerçevesinin garanti edilmediği uyarısıyla birlikte verdi. KeePass’ın güvenlik önlemleri içeren kararsız bir test sürümü artık mevcut. Bleeping Computer, kavram kanıtı istismar aracının yaratıcısının, yerinde düzeltmelerle sorunu yeniden oluşturamayacağını bildiriyor.
