KeePass被爆安全漏洞 允许攻击者以纯文本形式导出整个数据库

最近，KeePass 这种开放的加密存储库遭受了安全问题，允许攻击者在用户不知情的情况下，以纯文本形式导出整个数据库。

相比较 LastPass 和 Bitwarden 的云托管方式，开源密码管理工具 KeePass 主要使用本地存储的数据库来管理数据库。

新漏洞现在被跟踪为 CVE-2023-24055。攻击者在获取目标系统的写入权限之后，通过更改 KeePass XML 配置文件并注入恶意触发器，之后该连接的触发器将以不可变更的明文方式自动导出这个包含服务器所有服务器的用户名和密码的数据库。

在报告并分配了一个 CVE-ID 之后，用户要求 KeePass 背后的开发团队在静默数据库导出之前添加一个确认提示，在通过恶意修改的配置文件触发导出后需要发出提示，或者提供一个没有导出功能的应用程序版本。这样就可以避免恶意软件利用这些漏洞进行攻击。如果你的系统中存在这样的问题，请立即升级到最新版本。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!