Nutzer, die das Plugin KeePassRPC installiert haben, um den Passwortmanager KeePass über die Browser-Extension Kee mit ihrem Webbrowser zu verknüpfen, sollten umgehend auf KeePassRPC 1.12.1 updaten. Kritische Sicherheitslücken in allen vorherigen Versionen des Plugins könnten von Angreifern missbraucht werden, um sämtliche Passwörter aus offenen KeePass-Datenbanken auszulesen.
Für einen erfolgreichen Angriff, so schreibt ein Entwickler in einem Sicherheitshinweis zu den KeePassRPC-Lücken, sei lediglich der Besuch einer speziell präparierten Website mit einem der Browser notwendig, in denen die Kee-Extension installiert sei. Mitunter gebe es nicht einmal einen sichtbaren Hinweis auf den gerade stattfindenden beziehungsweise erfolgten Exploit.
Proof-of Concept-Code der Entdecker der Lücken gibt es bereits. Zwar ist über aktive Angriffe noch nichts bekannt; der Plugin-Entwickler rät angesichts des Schweregrads der Lücken aber in jedem Fall zum sofortigen Update. Technische Details zu den (auf unzureichenden Validierungsmechanismen und mangelhafter Zufallszahlengenerierung fußenden) Lücken sind dem Sicherheitshinweis zu entnehmen.
Manuelle Aktualisierung notwendig
Da KeePass keine automatischen Updates vornimmt, müssen Nutzer des Plugins dieses selbst aktualisieren. Bereits vorhandene alte KeePassRPC.plgx-Versionen auf dem System sind umgehend durch die aktuelle Version zu ersetzen.
Der Entwickler betont im Sicherheitshinweis, dass es sich hier nicht um Sicherheitslücken in Kee selbst handele. Außerdem seien Nutzer, die ihre Passwörter ausschließlich in Kee Vault speichern, nicht betroffen. Gleiches gilt natürlich auch für KeePass-Nutzer, die den Passwortmanager gar nicht mit dem Browser beziehungsweise Kee verknüpft haben.
KeePassRPC 1.12.1 steht bei GitHub zum Download bereit. Zusätzlich gibt es eine detaillierte englischsprachige Schritt-für-Schritt-Anleitung fürs Upgrade.
Quelle: Update für KeePass-Plugin KeepassRPC beseitigt kritische Sicherheitslücke | heise online