KeePass v2.54 corrige un bug qui laissait échapper le mot de passe principal en clair

KeePass a publié la version 2.54, qui corrige la vulnérabilité CVE-2023-3278 permettant d’extraire le mot de passe principal en clair de la mémoire de l’application.

En mai 2023, le chercheur en sécurité « vdohney » a révélé une vulnérabilité et une preuve de concept permettant d’extraire partiellement le mot de passe principal en clair de KeepPass à partir d’un vidage de la mémoire de l’application.

Une fois le mot de passe récupéré, ils peuvent ouvrir la base de données de mots de passe de KeePass et accéder à toutes les informations d’identification des comptes sauvegardés.

Reichl a également introduit des « Dummy strings » (chaînes fictives) contenant des caractères aléatoires dans la mémoire du processus KeePass afin de rendre plus difficile la récupération de fragments du mot de passe en mémoire et leur combinaison en un mot de passe principal valide.

Il est recommandé aux utilisateurs qui ne peuvent pas passer à KeePass 2.54 de réinitialiser leur mot de passe principal, de supprimer les fichiers de crash, d’hibernation et d’échange qui pourraient contenir des fragments de leur mot de passe principal, ou de procéder à une nouvelle installation du système d’exploitation.

L’exploitation de KeePass permet de récupérer le mot de passe principal en clair ; un correctif sera bientôt disponible.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.