KeePassXC の脆弱性の疑いが投稿されるがKeePassXC に脆弱性があるとの問題提起がされています
「CVE-2023–35866」
脆弱性の主張は
「すでにロック解除されたデータベースから
元の認証情報を必要とせずに
パスワードをエクスポートまたは変更できる」というもの
ですが、KeePassXC 作者は
これは脆弱性ではないと言っています
これは、最近よくある前提条件がおかしいやつで
攻撃者がロックされていないデータベースに自由にアクセスできるのなら
問題はそれどころではないです
オフラインのパスワードマネージャーなのだから当たり前のことで
かりに、パスワードをエクスポートに認証を入れても
大多数の人が不便になるだけだと言っています
この問題に対する簡単な軽減策は
マシンから離れる前にデータベースをロックしろと作者は言っています
CVE-2023–35866 に関するディスカッション – KeePassXC【7/11(火)-7/12(水)】ビッグセール「Amazon プライムデー」
- 関連記事
-
トラックバック
https://uwagakisimasuka.blog.fc2.com/tb.php/12179-88d0891b
