マスターパスワードを復元できてしまう脆弱性に対処した「KeePass」v2.54が公開

「KeePass」v2.54

　オープンソースのパスワード管理ツール「KeePass」が6月3日、v2.54へとアップデートされた。マスターパスワードを復元できてしまうゼロデイ脆弱性「CVE-2023-32784」が解決されている。

　この脆弱性は、パスワードの入力を受け付けるためにカスタム開発されたテキストボックス「SecureTextBoxEx」において、入力されたパスワード文字列の残骸がメモリ上に残ってしまい、メモリをダンプすれば最初の一文字を除き平文で復元できてしまう可能性があるというもの。「GitHub」で概念実証（PoC）ツールが公開されていた。

　開発チームはv2.x系統の「KeePass」を「KeePass 2.54」へ更新するよう呼び掛けている。

　そのほかにも、「KeePass 2.54」では一部の項目が、強制設定ファイルに保存されるようになった。トリガー、グローバルURLのオーバーライド、パスワードジェネレーターのプロファイルなどが対象となっているので注意したい。