由于各個(gè)平臺(tái)越發(fā)復(fù)雜的密碼要求，使用密碼管理軟件統(tǒng)一存儲(chǔ)密碼的用戶越來(lái)越多，但這也意味著，此類軟件一旦出現(xiàn)漏洞，就極易導(dǎo)致隱私泄露。

近日，開(kāi)源密碼管理軟件KeePass就被爆出存在惡性安全漏洞，攻擊者能夠在用戶不知情的情況下，直接以純文本形式導(dǎo)出用戶的整個(gè)密碼數(shù)據(jù)庫(kù)。

據(jù)悉，KeePass采用本地?cái)?shù)據(jù)庫(kù)的方式保存用戶密碼，并允許用戶通過(guò)主密碼對(duì)數(shù)據(jù)庫(kù)加密，避免泄露。

但剛剛被發(fā)現(xiàn)的CVE-2023-24055漏洞，能夠在攻擊者獲取寫入權(quán)限之后，直接修改KeePass XML文件并注入觸發(fā)器，從而將數(shù)據(jù)庫(kù)的所有用戶名和密碼以明文方式全部導(dǎo)出。

這整個(gè)過(guò)程全部在系統(tǒng)后臺(tái)完成，不需要進(jìn)行前期交互，不需要受害者輸入密碼，甚至不會(huì)對(duì)受害者進(jìn)行任何通知提醒。

目前，KeePass官方表示，這一漏洞不是其能夠解決的，有能力修改寫入權(quán)限的黑客完全可以進(jìn)行更強(qiáng)大的攻擊。

因此，注意設(shè)備環(huán)境的安全，避免受到攻擊才是最重要的，并稱KeePass無(wú)法在不安全的環(huán)境中神奇地安全運(yùn)行?！?/p>