KeePass: تم إغلاق فجوة لقراءة كلمة المرور الرئيسية
أتاحت ثغرة أمنية في مدير كلمات المرور KeePass إمكانية إعادة بناء كلمة المرور الرئيسية من صور الذاكرة. التحديث الآن يغلقه.
باستخدام الإصدار 2.54 من مدير كلمات المرور "KeePass" ، قام المطورون بإغلاق ثغرة أمنية يمكن للمهاجمين استخدامها لإعادة بناء كلمة المرور الرئيسية من صورة الذاكرة. أصبحت الثغرة الأمنية معروفة منذ حوالي أسبوعين . من أجل الاستغلال ، كان على المهاجمين اختراق النظام بالفعل من أجل الحصول على الحقوق اللازمة لإنشاء أو قراءة صور الذاكرة أو تبديل الملفات.
تم فتح الفجوة بواسطة حقل إدخال كلمة المرور من النوع SecureTextBoxEx. تترك الأحرف التي تم إدخالها فيه أنماطًا معينة في الذاكرة تسمح بإعادة بناء كلمة المرور (CVE-2023-32784 ، CVSS 7.5 ، خطر " مرتفع "). تم الإعلان عن التحديث في الأصل لشهر يوليو ، لكنه ظهر الآن مبكرًا. يجب على مستخدمي KeePass تنزيله وتثبيته على الفور.
KeePass: تم إصلاح الثغرة وتغييرات أخرى
في معلومات الإصدار ، يسرد مطورو KeePass الميزات والتغييرات الجديدة. وفقًا لذلك ، يحفظ KeePass الآن المشغلات وتجاوزات URL العالمية وملفات تعريف مولد كلمة المرور في ما يسمى enforced configuration بالملف. يمنحك هذا الأولوية على الإعدادات الموجودة في ملف التكوين العام أو المحلي. enforced configuration بالإضافة إلى ذلك ، أضاف المبرمجون مربع حوار يمكن من خلاله كتابة بعض الإعدادات لجميع المستخدمين إلى ملف.
يصف المطورون إصلاح الثغرة الأمنية بأنه حماية محسّنة لذاكرة العملية للوحات التحكم في التحرير الآمن. تم الآن تعطيل تجاوز مضمن لـ ssh-URIs افتراضيًا ، ويمكن إعادة تمكينه في تجاوزات URL. يجب أن يقوم منشئ كلمات المرور ببناء واجهة المستخدم بشكل أسرع. أيضًا ، يستخدم الآن تفضيل "كلمات المرور التي يتم إنشاؤها تلقائيًا للإدخالات الجديدة" عند فتح المولد بدون ملف تعريف محدد. التحسينات الأخرى ذات طبيعة تجميلية وقلق ، على سبيل المثال ، ألوان الخطوط الفاصلة في الحوارات.
يجب على مستخدمي KeePass تنزيل أحدث إصدار وتثبيته في أسرع وقت ممكن. الملفات متاحة على صفحة تنزيل keepass download.