密码管理软件KeePass出恶性漏洞

由于各个平台越发复杂的密码要求，使用密码管理软件统一存储密码的用户越来越多，但这也意味着，此类软件一旦出现漏洞，就极易导致隐私泄露。

近日，开源密码管理软件KeePass就被爆出存在恶性安全漏洞，攻击者能够在用户不知情的情况下，直接以纯文本形式导出用户的整个密码数据库。

据悉，KeePass采用本地数据库的方式保存用户密码，并允许用户通过主密码对数据库加密，避免泄露。

但刚刚被发现的CVE-2023-24055漏洞，能够在攻击者获取写入权限之后，直接修改KeePass XML文件并注入触发器，从而将数据库的所有用户名和密码以明文方式全部导出。

这整个过程全部在系统后台完成，不需要进行前期交互，不需要受害者输入密码，甚至不会对受害者进行任何通知提醒。

目前，KeePass官方表示，这一漏洞不是其能够解决的，有能力修改写入权限的黑客完全可以进行更强大的攻击。

因此，注意设备环境的安全，避免受到攻击才是最重要的，并称“KeePass无法在不安全的环境中神奇地安全运行。”

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24055