先日脆弱性が発見され、対策が待たれていたパスワード管理ソフト「KeePass」の最新版「KeePass 2.53.1」が2月9日にリリースされています(gHacks)。
脆弱性は、ベルギーの連邦サイバー緊急事態チームによって報告されたもので、KeePassのトリガーメカニズムに関連するものです。特定のトリガーを使用することで、攻撃者はパスワードデータベースを別のファイルにエクスポートすることができ、エクスポート時にマスターパスワードの入力が求められないことが脆弱性につながっているとのことです。
KeePassの開発者は当初、攻撃者が脆弱性を利用するためには、システムの書き込み権限を必要とし、書き込み権限を得ている場合には、KeePass実行ファイルの置き換えや、システム上で悪意のあるプログラムを実行するなど、さまざまな攻撃が可能であることから、KeePass特有の脆弱性とみなされることに対し異議を唱えていました。
しかし、最新版のポイントリリース2.53.1では結局この脆弱性への対処が行われ、エクスポート時にマスターパスワードを常に入力する必要があるように変更が行われています。
リリースノートでは以下のゆに説明されています。
Removed the 'Export - No Key Repeat' application policy flag; KeePass now always asks for the current master key when trying to export data.
「Export - No Key Repeat」アプリケーションポリシーフラグを削除しました。データをエクスポートしようとすると、KeePassは常に現在のマスターキーを要求します。
KeePassを使用しているユーザーは、最新版にアップグレードしセキュリティ設定を確認することをお勧めします。
 |
タイトル | KeePass Password Safe Professional Edition |
|---|---|---|
| 公式サイト | http://keepass.info/ | |
| ソフトアンテナ | https://softantenna.com/softwares/4085-keepass-password-safe-professional-edition | |
| 説明 | オープンソースのパスワード管理ソフト。プロフェッショナルエディション。 |
