Das Update auf Version 2.7.7 bringt mehrere neue Funktionen und Verbesserungen für den freien Passwortmanager KeePassXC. Die offizielle Implementierung von Passkeys ist eine davon.

Mit Version 2.54 der freien Passwortverwaltung KeePass beseitigen die Entwickler unter anderem eine Lücke, über die es einem lokalen Angreifer unter Umständen möglich war, das Masterpasswort zu rekonstruieren.

In KeePass 2.x vor Version 2.54 ist es möglich, das Master-Kennwort im Klartext aus einem Speicherabbild wiederherzustellen. Der Angreifer musste sich dafür aber bereits Zugang zum System verschafft haben. Bei dem Speicherauszug kann es sich laut der Sicherheitswarnung (CVE-2023-32784) um einen KeePass-Prozessdump, eine Auslagerungsdatei (pagefile.sys), eine Hibernationsdatei (hiberfil.sys) oder einen RAM-Dump des gesamten Systems handeln. Das erste Zeichen könne dabei nicht wiederhergestellt werden. Nutzer von KeePass sollten deshalb möglichst bald auf die neue Version aktualisieren. Diese biete verbesserter Prozessspeicherschutz von Secure Edit Controls, heißt es dazu knapp in der Ankündigung, was die Sicherheitslücke schließt.

Neben dem gelösten Sicherheitsproblem gibt es neue Features. KeePass speichere jetzt Triggers, globale URL Overrides, Password Generator Profile und einige Einstellungen mehr in der „enforced configuration“ Datei. Passend dazu gibt es den neuen Dialog Enforce Options (Menü ‘Extras’ → ‘Erweiterte Tools’ → ‘Optionen erzwingen’), der die Speicherung bestimmter Optionen in der „enforced configuration“ Datei erleichtere.

Der Beitrag KeePass 2.54 schließt Sicherheitslücke erschien zuerst auf Linux-Magazin.