由于各個平臺越發復雜的密碼要求，使用密碼管理軟件統一存儲密碼的用戶越來越多，但這也意味著，此類軟件一旦出現漏洞，就極易導致隱私泄露。

近日，開源密碼管理軟件KeePass就被爆出存在惡性安全漏洞，攻擊者能夠在用戶不知情的情況下，直接以純文本形式導出用戶的整個密碼數據庫。

據悉，KeePass采用本地數據庫的方式保存用戶密碼，并允許用戶通過主密碼對數據庫加密，避免泄露。

但剛剛被發現的CVE-2023-24055漏洞，能夠在攻擊者獲取寫入權限之后，直接修改KeePass XML文件并注入觸發器，從而將數據庫的所有用戶名和密碼以明文方式全部導出。

這整個過程全部在系統后臺完成，不需要進行前期交互，不需要受害者輸入密碼，甚至不會對受害者進行任何通知提醒。

目前，KeePass官方表示，這一漏洞不是其能夠解決的，有能力修改寫入權限的黑客完全可以進行更強大的攻擊。

因此，注意設備環境的安全，避免受到攻擊才是最重要的，并稱KeePass無法在不安全的環境中神奇地安全運行。”