פגיעות קריטית התגלתה במנהל הסיסמאות הפופולרי KeePass
KeePass היא תוכנה פופולרית לניהול סיסמאות המאפשרת למשתמשים לאחסן את הסיסמאות שלהם ב"כספת" נתונים מאובטחת. ה"כספת" מוצפנת בסיסמת אב (הסיסמא הראשית), וזו הדרך היחידה לגשת אליה.
לאחרונה התגלתה פגיעות חדשה בתוכנה שעלולה לאפשר לתוקפים להשיג את סיסמת האב, גם אם היא אינה רצה ברקע וה"כספת" נעולה – כיוון שהיא מאפשרת לתוקף להשיגה מזיכרון המחשב. הפגיעות קיימת מכיוון שהתוכנה משתמשת בתיבת הזנת סיסמא מותאמת אישית – שהתגלתה כמשאירת עקבות של כל תו בסיסמא שהמשתמש הקליד – בזיכרון המחשב. בכדי לנצל את הפגיעות, לתוקף יהיה צורך בגישה פיזית למחשב של הקורבן או להיות מסוגל להדביק אותו בתוכנה זדונית שתאפשר לו גישה מרוחקת למחשב. קיימת הוכחת היתכנות לפגיעות אשר פורסמה בפומבי.
הפגיעות קיימת בגרסאות 2-2.54 של התוכנה. גרסת 2.54, האמורה לתקן את הפגיעות, צפויה להתפרסם בתחילת חודש יוני 2023. נטען כי גרסאות ישנות ושונות של התוכנה אינן מושפעות מהחולשה.
בינתיים, מערך הסייבר ממליץ לנקוט במספר צעדי מנע המצוינים כאן, ביניהם שינוי סיסמת האב.
עדכון: בתאריך ה-3 ליוני KeePass פרסמה את העדכון המיוחל; ניתן להורידו מכאן.
0 תגובות