KeePass Sicherheitslücke zum Auslesen des Master-Passworts geschlossen

Diese Schwachstelle ermöglichte es Angreifern, das Master-Passwort eines Benutzers aus dem Speicher des Programms zu extrahieren. Die Sicherheitslücke, identifiziert als CVE-2023-32784 mit einem CVSS-Wert von 7.5 und einem hohen Risikograd, beruhte auf einem Speicherproblem im SecureTextBoxEx-Eingabefeld. Angreifer konnten durch Analyse des Speichermusters das Passwort rekonstruieren, vorausgesetzt, sie hatten bereits Zugang zum System, um die erforderlichen Speicherabbilder oder Auslagerungsdateien zu erstellen oder auszulesen.

Das frühzeitig veröffentlichte Update beinhaltet neben der Behebung dieser Sicherheitslücke auch neue Funktionen und Verbesserungen. Zu diesen gehören die Speicherung von Triggern, globalen URL-Überschreibungen und Passwort-Generator-Profilen in der "enforced configuration"-Datei, was ihnen Vorrang vor den Einstellungen in den globalen oder lokalen Konfigurationsdateien gibt. Ein neuer Dialog ermöglicht es zudem, einige Einstellungen für alle Benutzer in der "enforced configuration" festzulegen.

Die Entwickler haben den Prozessspeicherschutz von sicheren Edit-Kontrollfeldern verbessert. Ein Standard-Override für ssh-URIs ist nun deaktiviert, kann aber in den URL-Überschreibungen reaktiviert werden. Der Passwort-Generator arbeitet schneller und verwendet standardmäßig die Einstellung "Automatisch erstellte Passwörter für neue Einträge", wenn er ohne ein ausgewähltes Profil geöffnet wird. Weitere kosmetische Verbesserungen betreffen unter anderem die Farben von Trennlinien in Dialogen.

KeePass-Nutzer werden dringend aufgefordert, das Update zeitnah herunterzuladen und zu installieren, um sich vor dieser und anderen potenziellen Sicherheitsbedrohungen zu schützen. Das Update ist auf der KeePass-Download-Seite verfügbar.

Quelle: heise.de