Malwarebytesは5月18日(米国時間)、「KeePass vulnerability allows attackers to access the master password」において、KeePassに重大な脆弱性があるとして、注意を呼び掛けた。脆弱性が悪用された場合、マスターパスワードにアクセスされる危険性があるとされている。
KeePassは無料のオープンソースのパスワードマネージャー。パスワードを暗号化された形で保存する機能が提供されている。KeePassはデータベース全体を暗号化するため、パスワードだけでなく、ユーザー名、URL、メモなどの情報も暗号化される仕組みとなっている。
このパスワードマネージャに深刻な脆弱性があることがわかった。攻撃者によりマスターパスワードが復元されてしまう重大な欠陥があるとされ、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)および深刻度はまだ未確定がCVE-2023-32784として追跡されている。
影響を受けるのはKeePass 2.54より前のバージョンで、メモリダンプから平文状態のマスターパスワードを復元できることが可能とされている。この問題はすでにKeePassの開発者に伝わっているが、開発者は他のセキュリティ関連の機能に取り組んでいるため、KeePass 2.54のリリースはしばらく待つ必要があると報告している。
KeePassユーザーは注意を払うとともにKeePass 2.54以降が利用可能になった時点で、速やかにアップデートすることが求められている。