开放源代码密码管理器KeePass驳斥了关于其存在重大安全漏洞,允许不当访问用户密码库的说法。
KeePass主要是为个人使用而设计的,而不是作为一个业务密码管理器. 它与许多流行的密码管理器不同,它不将数据库存储在云服务器上,而是将数据库存储在用户设备的本地。
新发现的漏洞被称为CVE-2023-24055该技术允许已经进入用户系统的黑客通过修改XML配置文件,以纯文本形式导出用户的整个保险库,从而完全暴露用户的所有用户名和密码。
香港网络加速器
当受害者打开KeePass并输入主密码访问其保险库时,将触发数据库导出到黑客可以窃取的文件中。 该过程在后台悄然进行,不会通知KeePass或您的用户。作业系统因此不需要验证或认证,让受害者毫不知情。
用户在论坛他们要求KeePass在导出前要求输入主密码,或者默认禁用导出功能,并要求输入主密码重新启用该功能。
该漏洞的可行利用方法已在网上共享,因此由以下公司进一步开发该漏洞只是时间问题恶意软件开发商,并得到普及。
虽然KeePass并不否认CVE-2023-24055漏洞的存在,但他们的论点是该漏洞无法抵御已经控制用户系统的威胁者。 他们说,拥有用户系统写入权限的威胁者可以通过各种手段窃取用户的密码库,而KeePass无法阻止这些行为。
早在2019年4月,该漏洞就被描述为 "对配置文件的写入访问 "问题,KeePass声称这不是一个与密码管理器本身有关的漏洞。
开发人员表示,"拥有对KeePass配置文件的写入权限通常意味着攻击者实际上可以执行比修改配置文件更强大的攻击(这些攻击最终也会影响KeePass,与配置文件保护无关)"。
"这些攻击只能通过保持环境安全来预防(使用防病毒软件、防病毒软件、防病毒软件)。防火墙不打开未知的电子邮件附件等)。 他们补充说:"KeePass不能神奇地在不安全的环境中安全运行。
虽然KeePass不愿意添加任何额外的保护措施来防止未经授权的XML文件导出,但用户可以尝试一种变通方法。 如果他们以用户管理员身份登录,就可以创建一个强制配置文件,防止触发导出。 在激活管理员账户之前,他们首先必须确保没有其他人有写入KeePass文件和目录的权限。
然而,即使这样也不是万无一失的,因为攻击者可以在另一个目录中运行KeePass可执行文件的副本,而该目录与强制配置文件的存储位置是分开的,这意味着,根据KeePass的说法,"该副本不知道存储在其他地方的强制配置文件,[因此]没有强制设置"。
- 想要严密锁定您的系统? 那么您应该考虑使用最好的安全钥匙
