V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ludofastora
V2EX  ›  信息安全

KeePass Password Manager vulnerability: what you need to know - gHacks Tech News

  •  
  •   ludofastora · 2023-02-01 23:25:24 +08:00 · 1933 次点击
    这是一个创建于 696 天前的主题,其中的信息可能已经有所发展或是发生改变。

    The Federal Cyber Emergency Team of Belgium, cert.be, released a warning regarding KeePass. According to the warning, attackers with write access to the KeePass configuration file may modify it with triggers to export the entire password database in cleartext without user confirmation.

    https://www.ghacks.net/2023/02/01/keepass-password-manager-vulnerability-what-you-need-to-know/

    严格来讲,如果本身系统环境不安全的话,密码管理工具再安全也没用,不过还是建议大家桌面端用 keepass 的调整为 KeePassXC 不带有 trigger 的版本。

    4 条回复    2023-02-02 15:00:47 +08:00
    sunshower
        1
    sunshower  
       2023-02-01 23:57:23 +08:00
    trigger 是什么,触发自动填充的吗?
    ludofastora
        2
    ludofastora  
    OP
       2023-02-01 23:59:57 +08:00
    @sunshower 就是触发器功能,比如可以保存后自动备份之类的
    cycloner
        3
    cycloner  
       2023-02-02 14:59:09 +08:00
    临时解决办法,
    不过 keepass 官方不认为这是个风险,https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/
    我个人也认为既然都得到配置文件的写权限了,其实是电脑已经被黑了,能做的就太多了
    cycloner
        4
    cycloner  
       2023-02-02 15:00:47 +08:00
    第一次发图片不知道怎么发上来,汗,参考看吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2847 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 14:17 · PVG 22:17 · LAX 06:17 · JFK 09:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.