Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Bitwarden: ciekawa podatność umożliwiająca odczytanie z pamięci hasła głównego do tego managera haseł (nawet kiedy już zablokujemy managera).

05 lipca 2023, 21:45 | W biegu | komentarze 3

Opis problemu dostępny jest tutaj. W telegraficznym skrócie:

  • Podatna jest wersja desktopowa Bitwardena oraz rozszerzenie do przeglądarek (aktualizacja: wtyczka przeglądarkowa – przynajmniej do Chrome, wygląda na już załataną)
  • Żeby zdumpować główne hasło należy mieć lokalny dostęp do komputera, gdzie działa klient Bitwarden oraz manager musiał być co najmniej raz odblokowany
  • PoC narzędzia dostępny jest tutaj (uruchamiajcie na własne ryzyko)

Nota bene: podobna podatność (obecnie już załatana) występowała swego czasu w KeePassie.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Czyli korzystając tylko z wersji webowej mogę spać spokojnie? Przynajmniej na razie?
    A co z aplikacją na Androida?

    Odpowiedz
  2. Marcin

    W sumie jak już i tak ktoś jest się dostanie do Twojego kompa to i tak pozamiatane ;)

    Odpowiedz
  3. uoi

    … i tutaj do gry wchodzi 2FA, najlepiej Yubikey, który nawet pozostawiony z porcie USB nie pozwoli wejść bez dotknięcia płytki.

    Odpowiedz

Odpowiedz