Master passwords mimoorii appii KeePass irraa hatamuu akka danda’u himameera
Hogganaan jecha icciitii beekamaan KeePass faayidaa yaaddessaa kan qabu yoo ta’u kunis jecha icciitii guddaa keessan hatamuu danda’a. Qorataan nageenyaa tokko ragaa yaad-rimee kan akkaataa taphataan balaa tokko dogoggora fayyadamaa fayyadamuun jecha icciitii guddaa fayyadamaa tokkoo yaadannoo appii KeePass keessaa baasuu akka danda’u agarsiisu maxxanseera, kunis CVE-2023-3278 jedhamee hordofama. “KeePass Master Password Dumper meeshaa salphaa yaad-rimee ragaa ta’ee fi jecha icciitii guddaa yaadannoo KeePass irraa gatuuf gargaarudha. Arfii jecha icciitii jalqabaatiin alatti, irra caalaa jecha icciitii barreeffama ifa ta’een deebisuu danda’a,” jedha qorataan kun.
Raawwii koodii hin qabu
Itti dabaluunis, “Sirna galma irratti raawwii koodii kamiyyuu hin barbaachisu, memory dump qofa. Mimoorii eessaa akka dhufu homaa hin qabu – process dump, swap file (pagefile.sys), hibernation file (hiberfil) ta’uu danda’a.” sys) ykn RAM dump sirna guutuu.Iddoon hojii cufamuu fi dhiisuun isaa homaa hin qabu.” Jechi icciitii guddaan kun erga KeePass hojii dhaabee booda RAM sirnichaa keessaa baasuun ni danda’ama, haa ta’u malee qorataan kun erga appichi cufamee yeroon darbee carraan milkaa’inaan baasuu akka hir’atu hubachiiseera. PoCn kun Windows irratti kan qoratame yoo ta’u, qorataan kun garuu exploit kun macOS fi Linux versions irrattis akka hojjetu hima. PoCn kan hojjetu saanduqa barruu amala-qophaa’e galtee jecha icciitii, SecureTextBoxEx, kan arfiilee fayyadamaan barreessu gara yaadannoo sirnichaa irratti raawwachuudhaan fayyadamuudhaani. Sanduuqa kun yeroo jecha icciitii guddaa barreessinu qofa osoo hin taane, yeroo jechoota icciitii kuufaman biroos gulaaltu fayyadama, kanaaf isaan kunniin illee balaadhaaf saaxilamuu danda’u. Mudaan kun KeePass 2.53.1 fi fork kamiyyuu (appiin madda banaa dha) kan appii KeePass 2.X isa jalqabaa .NET irratti barreeffame irratti hundaa’e irratti dhiibbaa qaba. Qorataan kun akka jedhutti KeePassXC, Strongbox, fi KeePass 1.X irratti dhiibbaa akka hin qabne, kanneen biroo ta’uu danda’an keessaa. Qopheessaan KeePass Dominik Reichl saaxilamummaan kun jiraachuu isaa mirkaneessee jira. Sirreeffamni tokko June kana version 2.54 waliin dhufuu qaba. Balaan haleellaan bosona keessatti mudachuu danda’u hamma tokko daangeffamaadha, haa ta’u malee. Qorataan kun akka jedhutti, yoo sirni keessan duraanuu malwaren qabame ta’e, faayidaan kun yeroo master password keessan hatuuf yaalan osoo hin mul’atin akka isaan salphatu gochuu danda’a, sababiin isaas koodii raawwachuun waan hin barbaachifneef. Haa ta’u malee, sirni keessan qulqulluu yoo ta’e, “namni kamiyyuu argannoo kana qofaan jecha icciitii keessan fageenya irraa interneetii irratti hatuu hin danda’u” jechuun gaarii ta’uu qabdu jedha qorataan kun.
saansanka times 