Das Update auf Version 2.7.7 bringt mehrere neue Funktionen und Verbesserungen für den freien Passwortmanager KeePassXC. Die offizielle Implementierung von Passkeys ist eine davon.

Mit Version 2.54 der freien Passwortverwaltung KeePass beseitigen die Entwickler unter anderem eine Lücke, über die es einem lokalen Angreifer unter Umständen möglich war, das Masterpasswort zu rekonstruieren.

In KeePass 2.x vor Version 2.54 ist es möglich, das Master-Kennwort im Klartext aus einem Speicherabbild wiederherzustellen. Der Angreifer musste sich dafür aber bereits Zugang zum System verschafft haben. Bei dem Speicherauszug kann es sich laut der Sicherheitswarnung (CVE-2023-32784) um einen KeePass-Prozessdump, eine Auslagerungsdatei (pagefile.sys), eine Hibernationsdatei (hiberfil.sys) oder einen RAM-Dump des gesamten Systems handeln. Das erste Zeichen könne dabei nicht wiederhergestellt werden. Nutzer von KeePass sollten deshalb möglichst bald auf die neue Version aktualisieren. Diese biete verbesserter Prozessspeicherschutz von Secure Edit Controls, heißt es dazu knapp in der Ankündigung, was die Sicherheitslücke schließt.

Neben dem gelösten Sicherheitsproblem gibt es neue Features. KeePass speichere jetzt Triggers, globale URL Overrides, Password Generator Profile und einige Einstellungen mehr in der „enforced configuration“ Datei. Passend dazu gibt es den neuen Dialog Enforce Options (Menü ‘Extras’ → ‘Erweiterte Tools’ → ‘Optionen erzwingen’), der die Speicherung bestimmter Optionen in der „enforced configuration“ Datei erleichtere.

Der Beitrag KeePass 2.54 schließt Sicherheitslücke erschien zuerst auf Linux-Magazin.

KeePass ist ein beliebter Passwort-Manager, der als Open-Source entwickelt wird. Damit kannst Du Passwörter in den Speicher legen. Auch das Master-Passwort kann im Speicher sein. In der Sicherheitslücke CVE-2023-32784 ist beschrieben, dass sich dieses Master-Passwort aus dem Speicher auslesen lässt. Ein Sicherheitsexperte hat dafür ein Tool mit Namen Master Passwort Dumper auf GitHub veröffentlicht, womit er das Problem demonstriert. Das Tool holt sich die KeePass-Daten aus dem Speicher und stellt sie im Klartext dar. Dem Master Password Dumper ist es […]

Der Beitrag Master-Passwort von KeePass lässt sich aus dem Speicher holen ist von bitblokes.de.