日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
KeePass被爆安全漏洞:允許攻擊者以純文本形式導出整個數(shù)據(jù)庫

開源密碼管理工具 KeePass 近日被爆存在安全漏洞,允許攻擊者在用戶不知情的情況下,以純文本形式導出整個數(shù)據(jù)庫。

你所需要的網(wǎng)站建設(shè)服務,我們均能行業(yè)靠前的水平為你提供.標準是產(chǎn)品質(zhì)量的保證,主要從事成都做網(wǎng)站、網(wǎng)站建設(shè)、企業(yè)網(wǎng)站建設(shè)、移動網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計、成都品牌網(wǎng)站建設(shè)、網(wǎng)頁制作、做網(wǎng)站、建網(wǎng)站。創(chuàng)新互聯(lián)擁有實力堅強的技術(shù)研發(fā)團隊及素養(yǎng)的視覺設(shè)計專才。

相比較 LastPass 和 Bitwarden 的云托管方式 ,開源密碼管理工具 KeePass 主要使用本地存儲的數(shù)據(jù)庫來管理數(shù)據(jù)庫。

為了保護這些本地數(shù)據(jù)庫,用戶可以使用主密碼對它們進行加密。這樣惡意軟件或威脅行為者就不能竊取數(shù)據(jù)庫,也就無法訪問存儲在其中的相關(guān)密碼。

新漏洞現(xiàn)在被跟蹤為 CVE-2023-24055。攻擊者在獲取目標系統(tǒng)的寫入權(quán)限之后,通過更改 KeePass XML 配置文件并注入惡意觸發(fā)器,之后該觸發(fā)器將以明文方式導出包含所有用戶名和密碼的數(shù)據(jù)庫。

整個導出過程完全在后臺完成,不會向受害者發(fā)出通知,不需要進行前期的交互,也不需要受害者輸入主密碼,從而允許威脅者悄悄地訪問所有存儲的密碼。

在報告并分配了一個 CVE-ID 之后,用戶要求 KeePass 背后的開發(fā)團隊在靜默數(shù)據(jù)庫導出之前添加一個確認提示,在通過惡意修改的配置文件觸發(fā)導出后需要發(fā)出提示,或者提供一個沒有導出功能的應用程序版本。

KeePass 官方則回應表示,這個問題不應該歸咎于 KeePass。KeePass 開發(fā)人員解釋道:“擁有對 KeePass 配置文件的寫入權(quán)限通常意味著攻擊者實際上可以執(zhí)行比修改配置文件更強大的攻擊(這些攻擊最終也會影響 KeePass,獨立于配置文件保護)”。

開發(fā)人員繼續(xù)說道:“只能通過保持環(huán)境安全(通過使用防病毒軟件、防火墻、不打開未知電子郵件附件等)來防止這些攻擊。KeePass 無法在不安全的環(huán)境中神奇地安全運行”。


當前題目:KeePass被爆安全漏洞:允許攻擊者以純文本形式導出整個數(shù)據(jù)庫
標題路徑:http://www.5511xx.com/article/dphpihj.html