KeePass a publié la version 2.54, qui corrige la vulnérabilité CVE-2023-3278 permettant d’extraire le mot de passe principal en clair de la mémoire de l’application.
En mai 2023, le chercheur en sécurité « vdohney » a révélé une vulnérabilité et une preuve de concept permettant d’extraire partiellement le mot de passe principal en clair de KeepPass à partir d’un vidage de la mémoire de l’application.
Une fois le mot de passe récupéré, ils peuvent ouvrir la base de données de mots de passe de KeePass et accéder à toutes les informations d’identification des comptes sauvegardés.
Reichl a également introduit des « Dummy strings » (chaînes fictives) contenant des caractères aléatoires dans la mémoire du processus KeePass afin de rendre plus difficile la récupération de fragments du mot de passe en mémoire et leur combinaison en un mot de passe principal valide.
Il est recommandé aux utilisateurs qui ne peuvent pas passer à KeePass 2.54 de réinitialiser leur mot de passe principal, de supprimer les fichiers de crash, d’hibernation et d’échange qui pourraient contenir des fragments de leur mot de passe principal, ou de procéder à une nouvelle installation du système d’exploitation.
L’exploitation de KeePass permet de récupérer le mot de passe principal en clair ; un correctif sera bientôt disponible.