Ok, man kann also bei einer Aktiven Sitzung die Passwörter verändern ohne eine Abfrage des eigentlichen Passwortes.
Stell man sich die Frage nach dem Ziel welches bei der Änderung von Passwörtern erreicht werden soll, dann kann es ja nur sein, dass man den eigentlichen Besitzer, aus den Diensten, die mit diesen Passwörtern abgesichert sind, aussperren will.
Finde nur ich das total umständlich?
Wenn ich jemanden von den Diensten aussperren will, dann lösche ich einfach die Passwort-Datei und gut ist, da brauch ich auch nicht darauf zu warten ob evtl vielleicht gerade die Passwortdatei offen ist.
Der einzige Grund den ich mir tatsächlich vorstellen kann, ist der, dass man die Passwort-Datei nach der Änderung das Passwortes weg sichert und somit Zugriff auf die gespeicherten Daten hat, weil man das neue Passwort kennt. Der eigentliche Besitzer nicht mehr in seine Datenbank rein kommt und erst eine Sicherungskopie, wenn vorhanden, aufspielen muss um dann seine ganzen Passwörter zu ändern. Was ggf. dann schon zu spät sein kann. Selbst dann, mal ehrlich, warum sollte ich dann das Passwort ändern, wenn ich schon physiklisch Zugriff auf das Gerät habe, dann kopiere ich mir alle Passwörter im Klartext raus und lasse den Eigentümer im Glauben dass alles gut ist!
Keine Ahnung was das CVE und BSI sich dabei denken, aber irgendwie zweifele ich doch sehr an der Kompetenz bei der Klassifizierung dieser Meldung, da wird ein Fass aufgemacht, wo gar keines ist, weil das viel zu umständlich wäre, wenn ich den Eigentümer damit schaden will, dass er nicht mehr auf seine Passwörter zugreifen kann und ich ihn sicherlich nicht auch noch darauf hinweisen wollen würde, dass da was nicht stimmt und er ein Backup braucht.
Wahrscheinlich bin ich nur zu doof das zu verstehen!