Door een kwetsbaarheid in wachtwoordbeheerder KeePass is het voor aanvallers mogelijk om het hoofdwachtwoord van gebruikers in platte tekst op te halen. De ontwikkelaar werkt aan een oplossing, al verschijnt deze pas tien vroegste in juni.
Beveiligingsonderzoeker ‘vdohney’ zeker een proof-of-concept voor de kwetsbaarheid op GitHub. De kwetsbaarheid, die gevolgd kan worden via CVE-2023-3278, kan met deze tool worden uitgebuit. Iedereen die toegang heeft tot de pc van een gebruiker kan een geheugendump uitvoeren om het hoofdwachtwoord grotendeels in platte tekst weer te geven, zelfs als de database is vergrendeld of het programma is afgesloten. De eerste of eerste twee tekens van het wachtwoord ontbreken, maar kunnen worden geraden om het hele wachtwoord te ontdekken.
Naar zijn beschrijving alle bestaande versies van KeePass 2.x getroffen door de kwetsbaarheid. Een oplossing volgt in versie 2.54, die in juni wordt verwacht. Piepende computer Bovendien kan het hoofdwachtwoord ook na de release van de nieuwe versie mogelijk nog achterhaald worden, omdat de bestanden in het geheugen worden opgeslagen. Gebruikers moeten voor de zekerheid het besturingssysteem van hun pc opnieuw installeren en bestaande gegevens overschrijven.
KeePass is een gratis, opensource wachtwoordmanager. Eerder dit jaar was er ook al sprake van een kwetsbaarheid in KeePass, zo waarschuwde het Nederlandse Cyber Security Centrum. In eerste instantie wilde de ontwikkelaar het lek niet dichten, maar uiteindelijk is dit toch gebeurd.
credit :Source link
