KeePass: Lücke zum Auslesen des Master-Passworts geschlossen

Eine Sicherheitslücke im Passwort-Manager KeePass ermöglichte die Rekonstruktion des Master-Passworts aus Speicherabbildern. Ein Update schließt sie jetzt.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen

(Bild: Song_about_summer/Shutterstock.com)

Lesezeit: 2 Min.
Von

Mit Version 2.54 des Passwort-Managers KeePass schließen die Entwickler eine Schwachstelle, durch die Angreifer aus einem Speicherabbild das Master-Kennwort rekonstruieren konnten. Die Lücke wurde vor rund zwei Wochen bekannt. Zum Ausnutzen mussten Angreifer bereits in das System eingebrochen sein, um nötige Rechte zum Anlegen oder Auslesen von Speicherabbildern oder Auslagerungsdateien zu erhalten.

Die Lücke wurde durch ein Passwort-Eingabefeld des Typs SecureTextBoxEx aufgerissen. Die darin eingegebenen Zeichen hinterlassen bestimmte Muster im Speicher, die die Rekonstruktion des Kennworts ermöglichen (CVE-2023-32784, CVSS 7.5, Risiko "hoch"). Das Update war ursprünglich für Juli angekündigt, nun ist es doch frühzeitig erschienen. KeePass-Nutzer sollten es zeitnah herunterladen und installieren.

In den Versionsinformationen führen die KeePass-Entwickler neue Funktionen und Änderungen auf. Demnach speichert KeePass jetzt Triggers, globale URL-Overrides und Passwort-Generator-Profile in der sogenannten enforced configuration-Datei. Sie erhalten dadurch Priorität vor Einstellungen in der globalen oder lokalen Konfigurationsdatei. Zudem haben die Programmierer dazu einen Dialog ergänzt, mit dem sich einige Einstellungen für alle Nutzer in die enforced configuration schreiben lassen.

Die Korrektur für die Sicherheitslücke beschreiben die Entwickler als verbesserten Schutz des Prozessspeichers von sicheren Edit-Kontrollfeldern. Ein eingebauter Override für ssh-URIs ist jetzt standardmäßig deaktiviert, er lässt sich in den URL-Overrides wieder aktivieren. Der Passwort-Generator soll die Bedienoberfläche schneller aufbauen. Außerdem nutzt er jetzt die Voreinstellung "Automatisch erstellte Passwörter für neue Einträge" (automatically generated passwords for new entries), wenn der Generator ohne ein ausgewähltes Profil geöffnet wird. Weitere Verbesserungen sind kosmetischer Natur und betreffen etwa die Farben von Trennlinien in Dialogen.

Nutzer von KeePass sollten die aktuelle Version zügig herunterladen und installieren. Die Dateien stehen auf der KeePass-Download-Seite bereit.

(dmk)