HomeSecurityΤο KeePass v2.54 διορθώνει το bug που διέρρευσε το cleartext master password

Το KeePass v2.54 διορθώνει το bug που διέρρευσε το cleartext master password

Το KeePass κυκλοφόρησε την έκδοση 2.54, διορθώνοντας την ευπάθεια CVE-2023-32784 που επέτρεπε την εξαγωγή του cleartext master password από τη μνήμη της εφαρμογής.

KeePass v2.54
Το KeePass v2.54 διορθώνει το bug που διέρρευσε το cleartext master password

Κατά τη δημιουργία μιας νέας βάσης δεδομένων διαχείρισης κωδικών πρόσβασης KeePass, οι χρήστες πρέπει να δημιουργήσουν έναν κύριο κωδικό πρόσβασης που χρησιμοποιείται για την κρυπτογράφηση της βάσης δεδομένων. Όταν ανοίγουν τη βάση δεδομένων στο μέλλον, οι χρήστες πρέπει να εισάγουν αυτό το κύριο κλειδί για να την αποκρυπτογραφήσουν και να αποκτήσουν πρόσβαση στα credentials που είναι αποθηκευμένα σε αυτήν.

Τον Μάιο του 2023, ωστόσο, ο ερευνητής ασφαλείας “vdohney” αποκάλυψε μια ευπάθεια και ένα proof-of-concept exploit που επέτρεπε τη μερική εξαγωγή του κύριου κωδικού πρόσβασης KeepPass σε cleartext από ένα memory dump της εφαρμογής.

“Το πρόβλημα είναι με το SecureTextBoxEx. Λόγω του τρόπου με τον οποίο επεξεργάζεται τα δεδομένα εισόδου, όταν ο χρήστης πληκτρολογεί τον κωδικό πρόσβασης, θα υπάρχουν leftover strings”, εξήγησε ο vdohney σε μια αναφορά σφαλμάτων του KeePass.

#secnews #bot 

Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα. Σχεδόν τα τρία τέταρτα των καταναλωτών στο Ηνωμένο Βασίλειο (71%) πιστεύουν ότι κακόβουλα bot καταστρέφουν τα Χριστούγεννα, αγοράζοντας όλα τα περιζήτητα δώρα με τη μέθοδο scalping, σύμφωνα με την Imperva. Η εταιρεία προειδοποίησε ότι το «scalping», η πρακτική κατά την οποία οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν bot για να αγοράσουν αντικείμενα από διαδικτυακούς λιανοπωλητές και να τα πουλήσουν με κέρδος σε ιστότοπους μεταπώλησης, πρόκειται να επιδεινωθεί φέτος τα Χριστούγεννα.

00:00 Εισαγωγή
00:37 Ακριβότερα προϊόντα
01:22 Επιπλέον προβλήματα
01:48 Πρακτικές αντιμετώπισης

Μάθετε περισσότερα: https://www.secnews.gr/634984/bot-xrisimopoioun-scalping-eksantloun-ola-dimofili-dora/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #bot

Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα. Σχεδόν τα τρία τέταρτα των καταναλωτών στο Ηνωμένο Βασίλειο (71%) πιστεύουν ότι κακόβουλα bot καταστρέφουν τα Χριστούγεννα, αγοράζοντας όλα τα περιζήτητα δώρα με τη μέθοδο scalping, σύμφωνα με την Imperva. Η εταιρεία προειδοποίησε ότι το «scalping», η πρακτική κατά την οποία οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν bot για να αγοράσουν αντικείμενα από διαδικτυακούς λιανοπωλητές και να τα πουλήσουν με κέρδος σε ιστότοπους μεταπώλησης, πρόκειται να επιδεινωθεί φέτος τα Χριστούγεννα.

00:00 Εισαγωγή
00:37 Ακριβότερα προϊόντα
01:22 Επιπλέον προβλήματα
01:48 Πρακτικές αντιμετώπισης

Μάθετε περισσότερα: https://www.secnews.gr/634984/bot-xrisimopoioun-scalping-eksantloun-ola-dimofili-dora/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmxsM2o4ZE9RN0Rv

Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα

SecNewsTV 11 hours ago

Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη

SecNewsTV 14 hours ago

“Για παράδειγμα, όταν πληκτρολογείτε “Password”, θα προκύψουν αυτά τα υπόλοιπα strings: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”

Αυτός ο dumper επιτρέπει στους χρήστες να ανακτήσουν σχεδόν όλους τους χαρακτήρες του master password, εκτός από τον πρώτο ή τους δύο πρώτους, ακόμη και αν ο χώρος εργασίας του KeePass είναι κλειδωμένος ή το πρόγραμμα έχει κλείσει πρόσφατα.

Το κακόβουλο λογισμικό που κλέβει πληροφορίες ή οι απειλητικοί φορείς θα μπορούσαν να χρησιμοποιήσουν αυτή την τεχνική για να κάνουν dump της μνήμης ενός προγράμματος και να την στείλουν, μαζί με τη βάση δεδομένων του KeePass, σε έναν remote server για την offline ανάκτηση του cleartext password από το memory dump. Μόλις ανακτήσουν τον κωδικό πρόσβασης, μπορούν να ανοίξουν τη βάση δεδομένων κωδικών πρόσβασης του KeePass και να αποκτήσουν πρόσβαση σε όλα τα αποθηκευμένα account credentials.

Ο δημιουργός και κύριος προγραμματιστής του KeePass, Dominik Reichl, αναγνώρισε το ελάττωμα και υποσχέθηκε να κυκλοφορήσει σύντομα μια διόρθωση, έχοντας ήδη εφαρμόσει μια αποτελεσματική λύση η οποία δοκιμάζεται σε beta builds.

Το KeePass v2.54 διορθώνει το bug που διέρρευσε το cleartext master password

Το KeePass 2.5.4 διορθώνει την ευπάθεια

Κατά τη διάρκεια του Σαββατοκύριακου, η Reichl κυκλοφόρησε το KeePass 2.54 νωρίτερα από το αναμενόμενο και συνιστάται σε όλους τους χρήστες του 2.x branch να κάνουν αναβάθμιση στη νέα έκδοση.

Οι χρήστες των KeePass 1.x, Strongbox ή KeePassXC δεν επηρεάζονται από το CVE-2023-32784 και συνεπώς δεν χρειάζεται να μεταβούν σε νεότερη έκδοση.

Για τη διόρθωση της ευπάθειας, το KeePass χρησιμοποιεί πλέον ένα API των Windows για τον ορισμό ή την ανάκτηση δεδομένων από text boxes, αποτρέποντας έτσι τη δημιουργία διαχειριζόμενων string που μπορούν δυνητικά να γίνουν dump από τη μνήμη.

Ο Reichl εισήγαγε επίσης “dummy strings” με τυχαίους χαρακτήρες στη μνήμη της διαδικασίας KeePass, καθιστώντας δυσκολότερη την ανάκτηση τμημάτων του κωδικού πρόσβασης από τη μνήμη και τον συνδυασμό τους σε έναν έγκυρο κύριο κωδικό πρόσβασης.

Το KeePass 2.5.4 εισάγει επίσης άλλες βελτιώσεις ασφαλείας, όπως η μετακίνηση των Triggers, των Global URL overrides και των Password Generator Profiles στο αρχείο διαμόρφωσης που επιβάλλεται, το οποίο παρέχει πρόσθετη ασφάλεια έναντι επιθέσεων που τροποποιούν το αρχείο διαμόρφωσης του KeePass.

Εάν τα triggers, τα overrides και τα προφίλ δεν είναι αποθηκευμένα στην επιβεβλημένη διαμόρφωση επειδή δημιουργήθηκαν με προηγούμενη έκδοση, θα απενεργοποιηθούν αυτόματα στην έκδοση 2.54 και οι χρήστες θα πρέπει να τα ενεργοποιήσουν χειροκίνητα από το μενού ρυθμίσεων ‘Tools’.

Συνιστάται στους χρήστες που δεν μπορούν να αναβαθμίσουν το KeePass v2.54 να επαναφέρουν το master password, να διαγράψουν τα crash dumps, τα αρχεία hibernation και τα αρχεία swap που μπορεί να περιέχουν τμήματα του master password ή να πραγματοποιήσουν νέα εγκατάσταση του λειτουργικού συστήματος.

Λάβετε υπόψη ότι το πρόβλημα επηρεάζει μόνο τους κωδικούς πρόσβασης που πληκτρολογούνται στις φόρμες εισαγωγής του προγράμματος. Εάν τα credentials αντιγραφούν και επικολληθούν στα πλαίσια, δεν θα δημιουργηθούν data-leaking strings στη μνήμη.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS