CVE-2023-32784: Lỗ hổng cho phép tin tặc kết xuất mật khẩu chính khỏi bộ nhớ của KeePass 

Một lỗ hổng nghiêm trọng vừa được phát hiện trong KeePass Password Safe. Đây là trình quản lý mật khẩu phổ biến cho người dùng Windows, Linux, Mac OS X và cả những người dùng trên thiết bị di động. 

Lỗ hổng được theo dõi là CVE-2023-32784, cho phép tin tặc khôi phục mật khẩu chính (master password) dạng clear text từ kết xuất bộ nhớ. Có nghĩa là kẻ tấn công có thể truy cập vào cơ sở dữ liệu mật khẩu của người dùng một cách dễ dàng ngay cả khi họ đã thoát khỏi ứng dụng hoặc khóa cửa sổ làm việc của họ. Tuy nhiên, ký tự đầu tiên của mật khẩu vẫn không thể khôi phục được.  

Lỗ hổng tồn tại trong các phiên bản KeePass 2.x đến trước 2.54.  

Mặc dù lỗ hổng đã được giảm thiểu trong KeePass 2.54 nhưng sự tồn tại của một lỗ hổng như vậy cho thấy người dùng cần luôn cảnh giác và thường xuyên cập nhật. Ngay cả khi giao phó mật khẩu của mình cho các trình quản lý mật khẩu, chúng ta cũng không được quên rằng chúng không phải là bất khả xâm phạm.  

Nguồn: Securityonline