פגיעות קריטית התגלתה במנהל הסיסמאות הפופולרי KeePass

לאחרונה התגלתה פגיעות חדשה בתוכנה שעלולה לאפשר לתוקפים להשיג את סיסמת האב, גם אם היא אינה רצה ברקע וה"כספת" נעולה – כיוון שהיא מאפשרת לתוקף להשיגה מזיכרון המחשב. הפגיעות קיימת מכיוון שהתוכנה משתמשת בתיבת הזנת סיסמא מותאמת אישית – שהתגלתה כמשאירת עקבות של כל תו בסיסמא שהמשתמש הקליד – בזיכרון המחשב. בכדי לנצל את הפגיעות, לתוקף יהיה צורך בגישה פיזית למחשב של הקורבן או להיות מסוגל להדביק אותו בתוכנה זדונית שתאפשר לו גישה מרוחקת למחשב. קיימת הוכחת היתכנות לפגיעות אשר פורסמה בפומבי.

הפגיעות קיימת בגרסאות 2-2.54 של התוכנה. גרסת 2.54, האמורה לתקן את הפגיעות, צפויה להתפרסם בתחילת חודש יוני 2023. נטען כי גרסאות ישנות ושונות של התוכנה אינן מושפעות מהחולשה.

בינתיים, מערך הסייבר ממליץ לנקוט במספר צעדי מנע המצוינים כאן, ביניהם שינוי סיסמת האב.

עדכון: בתאריך ה-3 ליוני KeePass פרסמה את העדכון המיוחל; ניתן להורידו מכאן.