Die Entwickler des Passwort-Managers KeePass schließen mit der Version 2.54 eine Sicherheitslücke, durch die Angreifer aus einem Speicherabbild das Master-Kennwort rekonstruieren konnten.

Vor ungefähr zwei Wochen wurde diese Lücke bekannt. Angreifer mussten zum Ausnutzen der Schwachstelle bereits in das System eingebrochen sein, um nötige Rechte zum Anlegen oder Auslesen von Speicherabbildern oder Auslagerungsdateien zu erhalten.

Durch ein Passwort-Eingabefeld des Typs SecureTextBoxEx entstand die Lücke. Dadurch werden im Speicher über die darin eingegebenen Zeichen bestimmte Muster hinterlassen, die die Rekonstruktion des Kennworts ermöglichen (CVE-2023-32784, CVSS 7.5, Risiko "hoch").

Auf der Downloadseite von KeePass stehen die Dateien bereit. Diese aktuelle Version sollten Nutzer von dem Passwort-Manager zügig herunterladen und installieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE