名为“vdohney”的网络专家近日在密码管理工具 KeePass 中发现漏洞，追踪编号为 CVE-2023-32784，可以内存中检索出该软件的主密码。

坏消息是 KeePass 官方目前并未修复这个漏洞，好消息是黑客通过利用此漏洞远程提取密码。安全专家还公开发布了 KeePass 2.X Master Password Dumper 概念验证工具。

IT之家翻译该专家内容如下：

如果您的计算机已经感染了以用户权限在后台运行的恶意软件，那么对你的影响可能并不大。

如果有人可以访问你的电脑并进行取证分析，那么在最糟糕的情况下，攻击者可以知道你的主密码。

该漏洞会影响适用于 Windows 的 KeePass 2.X 分支，也可能影响 Linux 和 macOS。该漏洞已在 KeePass v2.54 的测试版本中修复，正式发布预计将于 2023 年 7 月发布。

相关阅读：

《密码管理工具 KeePass 被爆安全漏洞：允许攻击者以纯文本形式导出整个数据库》

本文转载自IT之家。本站转载此文目的在于传递更多信息，并不代表赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本网联系，我们将在第一时间删除内容，本网站对此声明具有最终解释权。