開源密碼管理工具 KeePass 近日被爆存在安全漏洞，允許攻擊者在用戶不知情的情況下，以純文本形式導(dǎo)出整個(gè)數(shù)據(jù)庫。

你所需要的網(wǎng)站建設(shè)服務(wù)，我們均能行業(yè)靠前的水平為你提供.標(biāo)準(zhǔn)是產(chǎn)品質(zhì)量的保證，主要從事成都做網(wǎng)站、網(wǎng)站建設(shè)、企業(yè)網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)、成都品牌網(wǎng)站建設(shè)、網(wǎng)頁制作、做網(wǎng)站、建網(wǎng)站。創(chuàng)新互聯(lián)擁有實(shí)力堅(jiān)強(qiáng)的技術(shù)研發(fā)團(tuán)隊(duì)及素養(yǎng)的視覺設(shè)計(jì)專才。

相比較 LastPass 和 Bitwarden 的云托管方式 ，開源密碼管理工具 KeePass 主要使用本地存儲(chǔ)的數(shù)據(jù)庫來管理數(shù)據(jù)庫。

為了保護(hù)這些本地?cái)?shù)據(jù)庫，用戶可以使用主密碼對(duì)它們進(jìn)行加密。這樣惡意軟件或威脅行為者就不能竊取數(shù)據(jù)庫，也就無法訪問存儲(chǔ)在其中的相關(guān)密碼。

新漏洞現(xiàn)在被跟蹤為 CVE-2023-24055。攻擊者在獲取目標(biāo)系統(tǒng)的寫入權(quán)限之后，通過更改 KeePass XML 配置文件并注入惡意觸發(fā)器，之后該觸發(fā)器將以明文方式導(dǎo)出包含所有用戶名和密碼的數(shù)據(jù)庫。

整個(gè)導(dǎo)出過程完全在后臺(tái)完成，不會(huì)向受害者發(fā)出通知，不需要進(jìn)行前期的交互，也不需要受害者輸入主密碼，從而允許威脅者悄悄地訪問所有存儲(chǔ)的密碼。

在報(bào)告并分配了一個(gè) CVE-ID 之后，用戶要求 KeePass 背后的開發(fā)團(tuán)隊(duì)在靜默數(shù)據(jù)庫導(dǎo)出之前添加一個(gè)確認(rèn)提示，在通過惡意修改的配置文件觸發(fā)導(dǎo)出后需要發(fā)出提示，或者提供一個(gè)沒有導(dǎo)出功能的應(yīng)用程序版本。

KeePass 官方則回應(yīng)表示，這個(gè)問題不應(yīng)該歸咎于 KeePass。KeePass 開發(fā)人員解釋道：“擁有對(duì) KeePass 配置文件的寫入權(quán)限通常意味著攻擊者實(shí)際上可以執(zhí)行比修改配置文件更強(qiáng)大的攻擊（這些攻擊最終也會(huì)影響 KeePass，獨(dú)立于配置文件保護(hù)）”。

開發(fā)人員繼續(xù)說道：“只能通過保持環(huán)境安全（通過使用防病毒軟件、防火墻、不打開未知電子郵件附件等）來防止這些攻擊。KeePass 無法在不安全的環(huán)境中神奇地安全運(yùn)行”。

網(wǎng)頁標(biāo)題：KeePass被爆安全漏洞：允許攻擊者以純文本形式導(dǎo)出整個(gè)數(shù)據(jù)庫
網(wǎng)站路徑：http://uogjgqi.cn/article/dphpihj.html