KeePass-Sicherheitslücke:
Auslesen des Master-Passworts möglich

Der Open-Source Passwort-Manager KeePass ist vielen Nutzern ein Begriff, da er kostenlos und für verschiedene Plattformen verfügbar ist. Sicherheitsexperten warnen nun aber vor einer Sicherheitslücke, die den Zugriff auf das Master-Passwort im Klartext ermöglicht.
Sicherheit, Sicherheitslücke, Hacker, Hack, Kriminalität, Datendiebstahl, Hacking, Hackerangriff, Internetkriminalität, passwort, Darknet, Diebstahl, Hacker Angriff, Hacker Angriffe, Crime, Recht und Ordnung, Gefahr, Raub, Dieb, Einbrecher, Verbrecher, Schurke, Bösewicht, Kriminell
KeePass hat demnach eine Schwachstelle, die unter Umständen Unbefugten Zugang zum Master-Passwort gewährt. Wer das Master-Passwort hat, kann dann auch die Datenbank mit allen in KeePass gespeicherten und verwalteten Zugänge bekommen.

Das geht aus einer Meldung von Tarnkappe hervor. Der Fehler in KeePass ist seit Anfang Mai bekannt und es gibt bereits ein Tool namens "KeePass 2.X Master Password Dumper", welches auf der Schwachstelle aufbaut. Infografik: Ein sicheres Passwort wählenEin sicheres Passwort wählen Die Sicherheitslücke ist als CVE-2023-32784 bekannt und erklärt die Zugriffsmöglichkeit für unbefugte Dritte.

In der Beschreibung von CVE-2023-32784 heißt es:

"In KeePass 2.x vor 2.54 ist es möglich, das Master-Kennwort im Klartext aus einem Speicherabbild wiederherzustellen, selbst wenn ein Arbeitsbereich gesperrt ist oder nicht mehr läuft. Bei dem Speicherauszug kann es sich um einen KeePass-Prozessdump, eine Auslagerungsdatei (pagefile.sys), eine Hibernationsdatei (hiberfil.sys) oder einen RAM-Dump des gesamten Systems handeln. Das erste Zeichen kann nicht wiederhergestellt werden. In Version 2.54 gibt es eine andere API-Nutzung und/oder eine zufällige Zeichenketteneinfügung zur Schadensbegrenzung."

Ausnutzung unwahrscheinlich

Damit ist auch klar, dass die Ausnutzung der Sicherheitslücke als überaus unwahrscheinlich eingestuft werden kann. Ein Angreifer müsste bereits Zugriff auf das Gerät, auf dem KeePass im Einsatz ist haben. Und selbst dann ist die Wiederherstellung des Master-Passworts nicht vollständig möglich. KeePass-Entwickler Dominik Reichl hat bereits Abhilfe angekündigt und wird den Fehler per Update beheben. Die Aktualisierung ist aktuell für Anfang Juni eingeplant.

Zusammenfassung
  • KeePass mit Sicherheitslücke, die den Zugriff im Klartext ermöglicht.
  • CVE-2023-32784 erklärt die Zugriffsmöglichkeit für Unbefugte.
  • Ein Tool kann auf der Schwachstelle aufbauen.
  • Ausnutzung als überaus unwahrscheinlich einzustufen.
  • Zugriff auf das Gerät, auf dem KeePass im Einsatz ist, notwendig.
  • Wiederherstellung des Master-Passworts nicht vollständig möglich.
  • Abhilfe durch Update von KeePass-Entwickler Reichl.

Download KeePass - Passwort-Sammlungs-Tool Siehe auch:
Thema:
Sicherheit & Antivirus
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Antivirus Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!