KeePass 2.54 corrige vulnerabilidade grave na aplicação

A aplicação do KeePass encontra-se a receber uma nova atualização, para a versão 2.54, focada em corrigir uma vulnerabilidade descoberta recentemente, que poderia permitir a extração da senha de acesso da aplicação em texto plano.

Quando os utilizadores criam uma nova base de dados do KeePass, devem introduzir uma senha mestra para poderem aceder no futuro aos conteúdos, que se encontram encriptados. Todos os acessos futuros necessitam de ser feitos usando essa senha mestra.

No entanto, em Maio de 2023, o investigador de segurança “vdohney” revelou ter descoberto uma falha, que quando explorada, poderia permitir extrair a senha em texto plano dos sistemas com o KeePass instalado, através de um dump da memória RAM.

Esta falha poderia ser usada por malware ou por atacantes para obterem acesso aos cofres e bases de dados protegidos do KeePass.

No entanto, esta falha foi agora corrigida. O programador Dominik Reichl revelou a nova atualização do KeePass 2.5.4, que foi lançada antes do previsto inicialmente e foca-se sobretudo em corrigir esta falha.

A relembrar que os utilizadores do KeePass 1.x, Strongbox, e KeePassXC não se encontram afetados por esta falha, portanto não necessitam de migrar para a nova versão de forma a garantirem a segurança das suas instalações.

Segundo Reichl, a aplicação agora usa a API do Windows para garantir a segurança dos dados enviados para a memória. Além disso, foi ainda introduzida uma funcionalidade que coloca carateres aleatórios na chave final da memória, tornando ainda mais complicado identificar a mesma no caso de ser feito um dump completo do processo.

Para quem use o KeePass, a atualização é agora recomendada, como forma de evitar o possível uso da falha para roubo de credenciais. Esta pode ser feita diretamente do site da aplicação, ou pelo sistema de atualização da mesma.