KeePass 2.5.4 corregge la vulnerabilità del dump della memoria

Lo scorso mese di maggio, il ricercatore di sicurezza “vdohney” ha rivelato una vulnerabilità con un PoC (Proof-of-Concept) che ha permesso di estrarre parzialmente la password principale KeepPass in chiaro da un dump della memoria dell’applicazione.

Cosa potrebbe accadere

Questo dump potrebbe consentire ad utenti malintenzionati di recuperare quasi tutti i caratteri della password principale tranne i primi uno o due caratteri, anche con l’area di lavoro di KeePass bloccata o lo stesso programma chiuso di recente e una volta recuperata la password, aprire il database delle password di KeePass e accedere a tutte le credenziali dell’account salvate.

Update correttivo

Il difetto, registrato come CVE-2023-32784, coinvolgerebbe le versioni di KeePass 2.53.1 per Windows, 2.47 per Linux e anche versioni per macOS ed è stato riconosciuto dal creatore e sviluppatore principale di KeePass, Dominik Reichl.

Durante lo scorso fine settimana, Reichl ha rilasciato KeePass 2.54 che risolve l’anomalia e introduce nuove caratteristiche al programma. Si consiglia a tutti gli utenti interessati di eseguire l’aggiornamento alla nuova versione.

Su Salvatore Lombardo 296 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.