Kritische Sicherheitslücke in KeepassRPC behoben

Mo, 03. August 2020, Joël Schurter

Beim KeePass-Plugin KeepassRPC wurde eine kritische Sicherheitslücke behoben, über welche sich mittels einer manipulierten Webseite sämtliche Passwörter und Login-Daten im Klartext auslesen lassen. Diese Sicherheitslücke betraf jedoch nur diese Nutzer, welche ihren KeePass-Passwortmanager mit dem Browser verknüpft hatten.

Die Schlüssel zum ...

Nutzer, welche KeePass ohne die Browser-Erweiterung nutzen, sind nicht betroffen und es handelt sich damit auch nicht um eine Sicherheitslücke in KeePass selbst, sondern nur um eine Lücke in der KeePass-Erweiterung KeePassRPC. Diese wurde nun in der Version 1.12.1 behoben und es besteht soweit bekannt keine weitere kritische Sicherheitslücke.

Tatsächlich war für das Auslesen der Passwortdaten einzig ein Besuch auf einer manipulierten Webseite nötig, das Auslesen der Passwörter und Login-Daten ist für den Benutzer nicht bemerkbar und auch im Nachhinein gibt es grundsätzlich keine Hinweise auf einen erfolgten Angriff.

Da KeePass keine automatischen Aktualisierungen vornimmt, muss das Update von KeepassRPC manuell erfolgen, eine detaillierte Schritt-für-Schritt-Anleitung auf Englisch wurde von den Entwicklern veröffentlicht: https://forum.kee.pm/t/upgrading-keepassrpc/22

Quellen:

https://www.heise.de/news/Update-fuer-KeePass-Plugin-KeepassRPC-beseitigt-kritische-Sicherheitsluecke-4860349.html

https://forum.kee.pm/t/a-critical-security-update-for-keepassrpc-is-available/3040