bu en iyi şifre yöneticileri Tüm oturum açma bilgilerinizi ve kredi kartı bilgilerinizi güvende tutmanız amaçlanmıştır, ancak yeni ve büyük bir güvenlik açığı, KeePass parola yöneticisi kullanıcılarını ciddi bir ihlal riskiyle karşı karşıya bırakmıştır.
Aslında, istismar, bir saldırganın bir KeePass kullanıcısının ana parolasını düz metin olarak - başka bir deyişle şifrelenmemiş bir biçimde - yalnızca hedef bilgisayarın belleğinden çıkararak çalmasına olanak tanır. Bu oldukça basit bir hack, ancak endişe verici sonuçları olabilir.
KeePass gibi şifre yöneticileri, güvende tutmak için tüm giriş bilgilerinizi kilitler ve tüm bu veriler bir ana şifrenin arkasında saklanır. Kasanızda saklanan her şeye erişmek için ana parolanızı girersiniz, bu da kasanızı bilgisayar korsanları için değerli bir hedef haline getirir.
İlgili
- Bu kritik istismar, bilgisayar korsanlarının Mac'inizin savunmasını aşmasına izin verebilir
- Bu utanç verici şifreler ünlülerin hacklenmesine neden oldu
- Google, bu hayati Gmail güvenlik aracını tamamen ücretsiz hale getirdi
tarafından bildirildiği gibi Uyku BilgisayarıKeePass güvenlik açığı, GitHub'da bir kavram kanıtı (PoC) aracı yayınlayan güvenlik araştırmacısı "vdohney" tarafından keşfedildi. Bu araç, ana parolanın neredeyse tamamını (ilk bir veya iki karakter hariç) okunabilir, şifrelenmemiş biçimde çıkarabilir. KeePass kilitliyse ve potansiyel olarak uygulama tamamen kapatılmışsa bile bunu yapabilir.
Önerilen Videolar
Bunun nedeni, ana parolayı KeePass'ın belleğinden çıkarmasıdır. Araştırmacının açıkladığı gibi, bu çeşitli şekillerde elde edilebilir: “Nerede olduğu önemli değil. bellek gelir - işlem dökümü, takas dosyası (pagefile.sys), hazırda bekletme dosyası (hiberfil.sys) olabilir veya Veri deposu tüm sistemin çöplüğü.”
İstismar, KeePass'ın kullandığı bazı özel kodlar sayesinde mevcuttur. Ana parolanızı girdiğinizde bunu SecureTextBoxEx adlı özel bir kutuya yaparsınız. Adına rağmen, bu kutunun o kadar da güvenli değil, çünkü kutuya yazılan her karakter aslında sistemde kendisinin bir artık kopyasını bırakıyor. hafıza. PoC aracının bulduğu ve ayıkladığı bu kalan karakterlerdir.
bir düzeltme geliyor
Bu güvenlik ihlaline ilişkin tek uyarı, ana parolanın çıkarılacağı makineye fiziksel erişim gerektirmesidir. Ancak bu, her zaman bir sorun değildir - daha önce de gördüğümüz gibi LastPass istismar destanı, bilgisayar korsanları, bilgisayarda yüklü olan savunmasız uzaktan erişim uygulamalarını kullanarak bir hedefin bilgisayarına erişim sağlayabilir.
Bir hedef bilgisayara kötü amaçlı yazılım bulaştıysa, KeePass'ın belleğini boşaltacak ve hem bilgisayarı hem de uygulamanın veritabanını bilgisayar korsanının kendi sunucusuna geri göndererek, tehdit aktörünün ana parolayı kendi zaman.
Neyse ki, KeePass'ın geliştiricisi bir düzeltmenin geldiğini söylüyor ve olası çözümlerden biri, uygulamanın belleğine şifreyi gizleyecek rastgele sahte metin eklemek. Düzeltmenin Haziran veya Temmuz 2023'e kadar yayınlanması beklenmiyor ve bu, ana parolasının sızdırılmasından endişe duyan herkes için sancılı bir bekleyiş olabilir. Ancak geliştirici, düzeltmenin indirilebilen bir beta sürümünü de yayınladı. KeePass web sitesinden.
Güvenlik açığı, şifre yöneticileri gibi görünüşte güvenli uygulamaların bile ihlal edilebileceğini gösteriyor ve bu ilk kez görülen ciddi bir zayıflık değil. KeePass'ta bulundu. Kendinizi bu son istismar gibi çevrimiçi tehditlerden korumak istiyorsanız, indirmekten kaçının. uygulamaları veya bilinmeyen göndericilerden gelen dosyaları açmayı deneyin, şüpheli web sitelerinden uzak durun ve bir antivirüs kullanın uygulama. Ve tabii ki, şifre yöneticinizin ana şifresini asla kimseyle paylaşmayın.
Editörlerin Önerileri
- Fidye yazılımı saldırıları büyük ölçüde arttı. İşte nasıl güvende kalacağınız
- ChatGPT bir siber güvenlik kabusu mu yaratıyor? uzmanlara sorduk
- Bilgisayar korsanları cihazlarınıza bulaşmak için sinsi yeni bir numara kullanıyor
- Hayır, 1Password saldırıya uğramadı - işte gerçekte olanlar
- Bu Bing kusuru, bilgisayar korsanlarının arama sonuçlarını değiştirmesine ve dosyalarınızı çalmasına olanak tanır
Yaşam tarzınızı yükseltinDijital Eğilimler, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği ön incelemelerle okuyucuların hızlı tempolu teknoloji dünyasını takip etmelerine yardımcı olur.
