Viel Lärm um nichts, wer physischen Zugang zu einem PC hat kann auch einfach einen Keylogger aufspielen und sich so das Masterpasswort abgreifen.
Dazu kam eine Nachricht:
Hallo zusammen,
ich würde gerne zu diesem Artikel ergänzen das dieser Angriff bereits in anderer Form in der Vergangenheit stattfand (2018). Dazu gab’s einen Artikel in der c’t und auf meinem Blog.
Damals hat Herr Reichel die Sache extrem runter gespielt und war nicht gewillt den Fehler zu fixen „Er ist nicht für die System Hygiene zuständig“ so oder so ähnlich hat er das geschrieben. Also die gleiche Argumentation wie beim zuletzt gefundenen Bug.
Jetzt taucht der Fehler erneut auf. Ich glaube nicht daß das wirklich gefixt wird.
Persönlich bin ich übrigens mittlerweile aus diesen Diskussionen zu KeePassXC gewechselt.
Das ist auch nichts wirklich neues, ich habe mir bspw. meinen eigenen Passwortmanager geschrieben, der hat das selbe Problem. Jede Programmiersprache, die den Speicher intern selbst verwaltet hat das Problem, dass immer Rückstände von Inhalten (hier das Masterpasswort) im Speicher verbleiben können, da nicht sichergestellt werden kann, dass die Laufzeitumgebung der Programmiersprache die Inhalte wirklich vollständig und überall entfernt. Häufig werden die Inhalte von Variablen auch intern kopiert und sind dann gleich mehrfach im Speicher.
Ich habe das Problem bei meinem Passwortmanager so abgemildert, dass ich ein „herumkopieren“ des Masterpasswortes untersagt habe und als Variable keine Zeichenkette sondern ein Array verwendet habe und das nach jeder Benutzung explizit überschreibe. Keine Ahnung was KeePass macht, viel mehr geht nicht.
Als Entwickler würde ich daher auch nichts unternehmen, hat aber nichts mit mangelndem Sicherheitsverständnis zu tun, sondern eher mit Angriffsvektoren wo man ohnehin bereits verloren hat. Ein Angreifer kann auch eine Kamera über deine Tastatur anbringen und das Masterpasswort so herausfinden, da kannst als Verantwortlicher der Software wenig machen.
Der Angreifer benötigt also den Prozessdump, die Auslagerungsdatei (pagefile.sys), die Ruhezustandsdatei (hiberfil.sys) oder einen RAM-Dump des gesamten Systems, um das PoC-Tool effektiv einsetzen zu können.
Wenn ein Dritter schon Zugang zu diesen Daten hat(te), dann hat der PC-Besitzer schon vorher weitaus größere Probleme, als eine KeePass-Schwachstelle