Alert!

Update für KeePass-Plugin KeepassRPC beseitigt kritische Sicherheitslücke

Über Sicherheitslücken in KeePassRPC könnten Angreifer über eine manipulierte Website sämtliche Passwörter aus allen offenen Datenbanken auslesen.

In Pocket speichern vorlesen Druckansicht 26 Kommentare lesen
Schlüssel, Schlüsselübergabe, Sicherheit

(Bild: mastersenaiper, gemeinfrei (Creative Commons CC0))

Lesezeit: 2 Min.

Nutzer, die das Plugin KeePassRPC installiert haben, um den Passwortmanager KeePass über die Browser-Extension Kee mit ihrem Webbrowser zu verknüpfen, sollten umgehend auf KeePassRPC 1.12.1 updaten. Kritische Sicherheitslücken in allen vorherigen Versionen des Plugins könnten von Angreifern missbraucht werden, um sämtliche Passwörter aus offenen KeePass-Datenbanken auszulesen.

Für einen erfolgreichen Angriff, so schreibt ein Entwickler in einem Sicherheitshinweis zu den KeePassRPC-Lücken, sei lediglich der Besuch einer speziell präparierten Website mit einem der Browser notwendig, in denen die Kee-Extension installiert sei. Mitunter gebe es nicht einmal einen sichtbaren Hinweis auf den gerade stattfindenden beziehungsweise erfolgten Exploit.

Proof-of Concept-Code der Entdecker der Lücken gibt es bereits. Zwar ist über aktive Angriffe noch nichts bekannt; der Plugin-Entwickler rät angesichts des Schweregrads der Lücken aber in jedem Fall zum sofortigen Update. Technische Details zu den (auf unzureichenden Validierungsmechanismen und mangelhafter Zufallszahlengenerierung fußenden) Lücken sind dem Sicherheitshinweis zu entnehmen.

Da KeePass keine automatischen Updates vornimmt, müssen Nutzer des Plugins dieses selbst aktualisieren. Bereits vorhandene alte KeePassRPC.plgx-Versionen auf dem System sind umgehend durch die aktuelle Version zu ersetzen.

Der Entwickler betont im Sicherheitshinweis, dass es sich hier nicht um Sicherheitslücken in Kee selbst handele. Außerdem seien Nutzer, die ihre Passwörter ausschließlich in Kee Vault speichern, nicht betroffen. Gleiches gilt natürlich auch für KeePass-Nutzer, die den Passwortmanager gar nicht mit dem Browser beziehungsweise Kee verknüpft haben.

KeePassRPC 1.12.1 steht bei GitHub zum Download bereit. Zusätzlich gibt es eine detaillierte englischsprachige Schritt-für-Schritt-Anleitung fürs Upgrade.

(ovw)