由于各个平台越发复杂的密码要求,使用密码管理软件统一存储密码的用户越来越多,但这也意味着,此类软件一旦出现漏洞,就极易导致隐私泄露。
近日,开源密码管理软件KeePass就被爆出存在恶性安全漏洞,攻击者能够在用户不知情的情况下,直接以纯文本形式导出用户的整个密码数据库。
据悉,KeePass采用本地数据库的方式保存用户密码,并允许用户通过主密码对数据库加密,避免泄露。
但刚刚被发现的CVE-2023-24055漏洞,能够在攻击者获取写入权限之后,直接修改KeePass XML文件并注入触发器,从而将数据库的所有用户名和密码以明文方式全部导出。
这整个过程全部在系统后台完成,不需要进行前期交互,不需要受害者输入密码,甚至不会对受害者进行任何通知提醒。
目前,KeePass官方表示,这一漏洞不是其能够解决的,有能力修改写入权限的黑客完全可以进行更强大的攻击。
因此,注意设备环境的安全,避免受到攻击才是最重要的,并称“KeePass无法在不安全的环境中神奇地安全运行。”
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24055
微信扫一扫 
支付宝扫一扫 
评论列表(9条)
在我看来keepass最大的安全性就是本地保存,这就意味着只要能自己注意上网安全,几乎不会泄露密码,所以我对keepass的要求就是简单的加密即可,剩下的真的不要求了
主密码忘了,能通过这种方式找回存储密码吗?
这就和点击“查看密码”差不多,关机后无解
谷歌浏览器保存密码安全吗
不安全,之前不是说它的文件密钥是本地储存的嘛,别人有了密钥就可以查看你的密码
KeePass:我们已经有1000万用户数据了
企鹅:100万收购,教我偷看,考虑考虑
KeePass:成交,我们创业不就等您这句话么
小结:别在公共电脑使用,别让其他人碰你的私人电脑,那就还是安全的。
备份密码文件,卸掉了
> 并称“KeePass无法在不安全的环境中神奇地安全运行。”
解释的很明白了。
通俗举例,相当于你把密码记录到本子,放到家里(系统环境)的保险箱(KeePass)。
而黑客都能隐身进你家里,还啥都能干。完全可以直接看你密码,或者换个假的保险箱给你用。就算放脑子里面记着,输入的时候一样能获取。
这去怪保险箱,算怎么回事。