用户中心利用漏洞可以明文形式泄露您的KeePass主密码
KeePass密码管理器的用户可能希望在接下来的几周里格外警惕。新发现的漏洞允许以明文形式检索主密码,即使在数据库锁定或程序关闭时也是如此。虽然解决方案正在酝酿之中,但最快也要到6月初才能到位。
(2023年6月5日更新:修补此漏洞的KeePass版本2.54现已发布。)
正如《哔哩哔哩》报道的那样,一位名为vdohney的安全研究人员发布了一个概念验证工具,该工具实际展示了该漏洞的利用。攻击者可以执行内存转储来收集大部分明文形式的主密码,即使在KeePass数据库关闭、程序锁定或程序不再打开的情况下也是如此。当从内存中取出时,密码的前一两个字符将丢失,但随后可以猜测出整个字符串。
对于那些不熟悉内存转储漏洞的人来说,你可以把这种情况想象成有点像KeePass的主密码在裤子口袋里找零钱。抖动裤子,你几乎得到了购买进入数据库所需的全部美元(可以说)–但这些硬币从一开始就不应该在口袋里四处漂浮。
概念验证工具在Windows中展示了这个问题,但Linux和MacOS也被认为是易受攻击的,因为该问题存在于KeePass中,而不是操作系统中。Windows中的标准用户帐户也不安全-转储内存不需要管理权限。要执行攻击,恶意攻击者需要远程访问计算机(通过恶意软件获得)或物理访问。
所有现有版本的KeePass 2.x(例如,2.53.1)都会受到影响。与此同时,根据vdohney的说法,与KeePass数据库文件兼容的其他密码管理器KeePass 1.x(仍在维护的旧版本程序)、KeePassXC和Strongbox不受影响。
此漏洞的修补程序将在KeePass版本2.54中提供,该版本可能会在6月初发布。KeePass的开发者Dominick Reichl在SourceForge论坛上给出了这一估计,并警告说,不能保证时间框架。具有安全缓解功能的KeePass的不稳定测试版本现已推出。嗡嗡作响的计算机报告说,概念验证利用工具的创建者无法在修复到位后重现该问题。
然而,即使在升级到KeePass的固定版本后,主密码仍可能在程序的内存文件中可见。为了完全防止这种情况,你必须使用覆盖现有数据的模式完全清除你的电脑,然后重新安装操作系统。
然而,这是一个相当激烈的举动。更合理的是,不要让不受信任的人访问你的计算机,不要点击任何未知的链接或安装任何未知的软件。一个好的防病毒程序(就像我们最推荐的程序之一)也会有所帮助。当修复版本的KeePass启动时,你还可以在升级后更改你的主密码-如果之前的密码仍然隐藏在你的内存文件中,这样做应该会使它变得无关紧要。
你还可以通过重新启动电脑,清除休眠和交换文件,并在KeePassXC等安全的替代方案中暂时访问KeePass数据库来减少风险。设备加密还可以帮助抵御对您的PC的物理攻击(或者如果您认为有人可以在您捐赠或丢弃PC后挖掘这些信息)。有一些方法可以保持保护-幸运的是,这似乎只是一个概念验证问题,而不是一个积极的利用。
编者按:本文最初发布于2023年5月19日,并于2023年6月5日更新,其中包含一个指向修补此漏洞的KeePass版本2.54的链接。
人体图片 美女图集 女性艺术照片 美女情趣内衣 颜如玉人体艺术本文地址: https://www.q16k.com/article/23b839556ed4110529db.html
为你推荐最好的产品
2024年6月25日,猫途鹰Tripadvisor有旅游客人分享的十亿条点评,在这里你可以获取旅行建议,查看景点旅游信息、景点点评、酒店预订价格、餐厅信息和美食评论。猫途鹰是您获取出国、出境旅游信息和价值的重要渠道,上猫途鹰制定你的旅游计划吧
该站点未添加描述description...
长清信息港是一个为长清区百姓提供全方位、本土化、人性化服务的综合信息平台;是长清区百姓最喜爱的专业网站。
蓝月追女孩,分享轻松幽默的追女孩子的聊天技巧,教会你如何轻松的追求女孩子,覆盖微信聊天技巧幽默追女孩子、追女孩子聊天话术、适合追女孩子的短信甜言蜜语,轻松帮助快速追求到自己喜欢的女孩子。
悍铭数据中心—专业提供香港vps、美国VPS、弹性云服务器、香港空间、美国空间、虚拟主机、域名注册、香港云主机、服务器租用托管等,是您的放心之选!
该站点未添加描述description...
为广大用户分享古今经典文学作品,有趣文段赏析,古人古诗等。
一起玩手游网为用户提供高人气的手机游戏和安卓软件下载服务。我们每天精选并整理当下热门且好玩的游戏和软件题材,形成专题推荐给用户。此外还提供各类免费的手机软件和版本,致力于为用户打造一个安全、可靠、高速的一站式软件游戏下载平台。
好词好句好段摘抄大全
该站点未添加描述description...
使用网赚项目问答的形式帮助网赚类网站突出重点,也可以做一个知识问答分享类的网站。自适应主题模板,支持手机、平板和电脑访问!
易创项目汇集领域干货内容,分享优质知识,为创业者持续持续提供助力,助您实现创业梦想!
进口车市为您提供天津平行进口车报价信息、天津平行进口车新闻资讯、天津平行进口车市场行情、天津平行进口车经销商信息等,是您选购进口车的第一网络平台
该站点未添加描述description...
Bootstrap模板库—汇聚国内外顶尖Bootstrap模板设计作品和Bootstrap插件,并提供网站模板在线预览及源码下载。全球顶尖网页前端设计作品,高效套用模板,尽在bootstrapmb.com
笔记本电脑性价比往往是购买最大的影响因素,笔记本性价比排行榜也是用户经常提到的,一款性价比高的笔记本电脑可以让我们用最少的钱买到称心如意的好笔记本电脑,本站为大家分享性价比高的笔记本电脑推荐,笔记本电脑排名前十位的有哪些呢?进来看看京东笔记本销量榜就知道了
温州公交,提供温州公交线路查询,温州公交车时刻表,温州公交车首末班车时间,温州公交车站位置、票价及总里程等信息。
在网络枪手的世界里,当你连续五次被服务器另一边的同一[审查]杀死时,将你的死亡归咎于延迟只是略低于指责黑客。但在Valve备受期待的反恐2中,当你向队友道歉的时候,你将有一个更少的选择-假设你无论如何都在使用NVIDIA显卡。即将到来的游戏将使用NVIDIAReflex来应用显卡能力,以减少延迟并提高响应速度。Relex是一个令人着迷...
在过去的几个月里,随着OpenAI革命性的ChatGPT的迅速成功,AI聊天机器人的受欢迎程度急剧上升–令人惊讶的是,直到去年12月左右,ChatGPT才突然出现。但当微软抓住机会,以100亿美元的高价与OpenAI这颗冉冉升起的新星搭上马车时,它选择了这样做,打着谷歌搜索引擎必应(Bing)的幌子,推出了一款基于GPT-4的聊天机器...
还记得几年前,当他们非常努力地尝试让3D电视成为一种东西的时候吗?还记得当你不得不戴笨重的眼镜时,每个人都讨厌它吗?还记得他们试图在没有眼镜的情况下制作3D屏幕,但比史蒂芬·西格尔主演的翻拍电影《音乐之声》更失败了吗?忘了这一切吧,如果你还记得我在说什么的话:宏碁最新推出的Predator笔记本电脑不带眼镜的3D屏幕可能正好能满足你的...
为了提供彻底的保护,今天的安全产品必须做的不仅仅是扫描病毒和恶意软件。他们需要检查有害的互联网流量、侵入性浏览器跟踪、隐私问题、过时的软件和弱密码等项目。一款提供这一切甚至更多功能的产品是AviraPrimeforWindows。AviraPrime专为所有受支持的Windows版本而设计,在一个程序中包含了很多功能。在安全的旗帜下,...
现代时代呼唤现代应用程序。对于Outlook,微软去年开始采取缓慢的步伐,通过发布新的Outlook软件预览版进行全面改革。早期版本对Microsoft365Insider预览版成员开放,限制用户只能使用一个账户–而且必须是属于微软保护伞下的一个账户。但正如Insider的一篇博客文章所宣布的那样,该公司现在已经开始推出第三方电子邮件...
你有没有买过电脑,不是因为它的硬件,而是因为它的软件?不,不是Windows–是应用程序。三星绝对决心你会这样做–并投资于其他三星Galaxy设备,因为它们之间的互动非常好。你可以买一台惠普笔记本电脑、一部谷歌Pixel手机和一台亚马逊Fire平板电脑。或者,你可以买一台三星GalaxyBook3、一台GalaxyTab平板电脑和一部...
呼唤所有的音乐艺术家!无论你是计划制造最糟糕的低音音效,还是仅仅是一些冰冷的低保真音响,你都需要一台坚固的笔记本电脑来完成这项工作。在选择用于音乐制作的笔记本电脑时,有几个关键问题需要注意。高质量的处理器对于流畅的录制性能是绝对至关重要的,而相当大的RAM将允许您同时处理多个插件和曲目。便携性也是一个重要因素–如果你要把你的节目带到当...
在许多电脑游戏玩家的生活中,有一段时间他们必须做以前无法想象的事情,并在客厅里安装一个游戏设备。也许是因为你在家工作,不能忍受下班后弓着身子坐在同一张桌子前玩游戏,或者你终于买了一台具有VRR等严肃游戏功能的电视,想要一台合适的PC来使用它。或者,也许你已经尝到了用蒸汽甲板解放你的电脑游戏库的滋味,并想把这些游戏带到家里更多的屏幕上。...
OLED显示器在2023年风靡一时,但令日常购物者失望的是,它们仍然很贵。即使是便携式OLED显示器,价格通常也在300美元以上。但是,虽然Innocn15K1F的建议零售价为399.99美元,但它在亚马逊上的价格要低得多(撰写本文时为269.99美元),为消费者提供了一种廉价的选择,仅略低于价格更高的竞争对手。Innocn15K1F...
事实证明,谷歌对可以上传到其云存储服务GoogleDrive的文件数量施加了硬性限制–尽管缺乏概述这些限制的明确文件。那个神奇的数字?五百万。更新日期23年4月5日:谷歌正在取消Drive账户的文件数限制。在GoogleDriveTwitter账户上的一条推文中,该公司表示,它已经改变了政策,同时寻求其他方法来提高服务的性能。Goog...
还记得希捷制作特别版存储驱动器时用的是“贝斯卡钢材”吗?波巴·费特和其他曼达洛人都穿这种材料来制作它们。销路非常好不受等离子爆破器的影响?好的,该公司带着星球大战口味的PC硬件回来了,这一次它更闪亮了。新的“LightsaberCollection”FireCudaM.2固态硬盘配有可更换的面板,通过Kyber注入的LED发光二极管点...
2月底,AMDRyzen97950X3D的发布充分说明了一件事:TeamRed的7000系列3DV-Cache处理器中的第一个是游戏怪物。他们额外增加了一层辛辣的L3缓存层,大大提高了他们的性能。但所有人都在等待的芯片–Ryzen77800X3D–仍然是一个问号。与售价699美元的7950X3D和599美元的Ryzen97900X3D...
联想的消费笔记本旗舰产品Yoga9i在2023年基本没有变化,但有一些值得注意的升级,包括英特尔酷睿第13代处理器和标准OLED显示屏(这在以前是一个选项)。这些改进与竞争并驾齐驱,尽管它们也会导致更高的价格。正在寻找更多2合1选项?查看我们今天提供的最好的2合1笔记本电脑综述。联想Yoga9i采用英特尔全新酷睿i7-1360P处理器...
罗技G502在2014年就让游戏玩家惊叹不已,但后来又发生了变化,最终推出了新的改进版G502X。是的,它有一个升级的25K英雄传感器,可以很好地提高速度和精度,但G502X最令人印象深刻的是按钮被磨练到近乎完美的方式。很少有游戏鼠标有如此易用的按钮布局,这总是使这款新型号成为2023年你可以购买的最好的全能有线游戏鼠标之一。注:查看...
埃隆·马斯克最近宣布,在一系列有利于付费客户的变化中,旧的复选标记正在消失,这似乎正在推动另一批人离开Twitter去中心化的微博服务Mastodon。但想要成为Mastodon用户的人往往在第一步就放弃了:选择一台服务器来创建账户。虽然Mastodon与其他社交媒体服务不同,但它也远没有乍看起来那么令人生畏。我们分析了Mastodo...
又是一年夏天又到了吃小龙虾的好时候,但很多人吃过多次小龙虾,对他的正确吃法还是掌握不了,那么我们应该怎么吃小龙虾呢?一会我就把小龙虾的正确吃法写出来分享给大家,能让在有大家全面了解小龙虾怎么吃最好。我们应该怎么吃小龙虾1、我们平时吃小龙虾的时候,一定要把它放在清水中养上四五个小时,让它吐掉体内的脏东西,然后再把它放到流水下认真刷洗,当...
华硕已经放下了挑战。OLED显示屏被认为是你所能拥有的最好的显示技术。但是120赫兹的有机发光二极管呢?和具有3D功能的120赫兹OLED?在CES上,华硕发布了新的Vivobook和Zenbook,它们拥有激进的新显示屏,承诺将非常华丽。华硕会在一台笔记本电脑上整合这三种功能吗?不,是两个。华硕ProArtStudioBook163...
自从《Half-Life:Alyx》问世以来,VR游戏似乎在过去一两年里一直处于一种等待模式。我怀疑,随着Facebook/Meta努力将AR推向更多的普通消费者手中,以及苹果公司明年即将推出的VisionPro的威胁,许多公司都在利用这段时间来支撑他们的核心产品。例如,像Valve一样,它刚刚发布了对SteamVR平台的巨大更新,现...
长期以来,游戏鼠标按钮中的光学和机械开关一直是战线,光学开关似乎是这场争斗的赢家。但现在,第三种类型加入了竞争,这进一步模糊了这两种开关类型之间的界限。那么,什么是混合交换机呢?与我们已经在使用的久经考验的开关相比,它们又如何呢?了解硬件的玩家会知道,手指放在游戏鼠标上的按钮下的小盘子传统上有两种口味:机械种类和光学种类。机械式开关是...
今年的流行语无疑是人工智能,各大科技公司都在尽其所能地将这项技术插入任何领域。谷歌已经推出了搜索、Gmail和谷歌文档的人工智能增强版本。这些功能是谷歌工作空间实验室的一部分(在一个新窗口中打开),并在有限的测试版中提供。在谷歌文档的例子中,这项技术–谷歌称之为DuetAI–让你可以从你提供的提示中起草文本,或者改进你的文字,以更好地...