Niedawno odkryto potencjalnie niebezpieczną lukę w otwartoźródłowym menadżerze haseł KeePass. Za jej pomocą cyberprzestępcy mogą dostać się do wszystkich haseł użytkownika. Deweloperzy jednak twierdzą, że nie powinno się tego określać jako podatności.
Jakiś czas temu odkryto podatność w popularnym menadżerze haseł KeePass. Według serwisu BleepingComputer, luka CVE-2023-24055 „pozwala osobom z dostępem do zapisu w systemie docelowym na zmianę pliku konfiguracyjnego KeePass XML i wpuszczenie wyzwalacza, który mógłby dokonać eksportu bazy danych, w tym wszystkich nazw użytkowników i haseł„.
Dzięki temu wystarczy że właściciel wpisze główne hasło, aby zawartość bazy została zapisana w pliku, który następnie zostanie przechwycony przez atakujących. Cały proces dzieje się za naszymi plecami, bez jakichkolwiek powiadomień.
Okazuje się jednak, że deweloperzy otwartoźródłowego oprogramowania twierdzą, że znalezisko nie powinno być traktowane jako podatność, ponieważ „przestępcy z uprawnieniami zapisu (write access) mogą również uzyskać informacje zawarte w bazie danych KeePass za pomocą innych środków”.
Twórcy menadżera tłumaczą, że osoba z prawem zapisu może dokonać dużo poważniejszych szkód, niż modyfikowanie pliku konfiguracyjnego. Jedynym ratunkiem na ataki tego typu mają być m.in. oprogramowanie antywirusowe oraz odpowiednie zachowanie w internecie, tj. nieotwieranie załączników z podejrzanych wiadomości e-mail.
Przed takim zagrożeniem można się też bronić, tworząc odpowiednią wersję pliku konfiguracyjnego (Enforced config file), jednak – jak podaje BleepingComputer – cyberprzestępcy mogą „uruchomić program wykonawczy KeePass z innego folderu niż ten, w którym został zapisany Enforced Config File”.
Niektóre odnośniki na stronie to linki reklamowe.