Master-Passwort in Gefahr: KeePass schließt riskante Sicherheitslücke

Passwort-Manager sind grundsätzlich eine vernünftige Lösung, um eine Vielzahl an Log-in-Daten sicher zu speichern. Nutzer müssen sich hierfür nur ein sogenanntes Master-Passwort als Hauptschlüssel merken, um Zugriff auf alle abgelegten Kennwörter zu erhalten. Eine Sicherheitslücke im beliebten Manager KeePass sorgte jedoch dafür, dass genau dieses Master-Passwort potenziell abgefangen werden konnte.

Ein Update auf KeePass-Version auf 2.54 schließt die Schwachstelle mit der Kennung CVE-2023-32784 nun, die durch einen CVS-Score von 7.5 als Hochrisiko-Lücke eingestuft wird. Einzig die Tatsache, dass Angreifer bereits hohe Systemrechte erlangt haben müssen, um die Schwachstelle auszunutzen, verhindert eine kritischere Bewertung der Sicherheitslücke.

Verantwortlich für den Fehler sei das ein Passwort-Eingabefeld vom Typ "SecureTextBoxEx". Dieser Eingabetyp hinterlasse bestimmte Muster im Speicher des Systems, wodurch das eigentliche Master-Passwort mit etwas Geschick wiederhergestellt werden kann. Das KeePass-Update auf 2.54 behebt diesen Fehler jetzt, indem ebendieser Prozessspeicher besser geschützt werde.

Das Update für den Passwort-Manager korrigiert nicht nur die Schwachstelle zum Auslesen des Master-Passworts. Weitere Features sollen etwa ein schnellerer Aufbau der Bedienoberfläche oder optische Verbesserungen sein, wie die Entwickler in den Patch Notes schreiben. Unabhängig davon sollte die KeePass-Aktualisierung auf Version 2.54 allein aufgrund des Security-Fixes schnellstmöglich heruntergeladen und installiert werden.