网络安全公司WithSecure发现，黑客将开源密码管理器KeePass改造成恶意软件KeeLoader，并通过Bing广告诱导用户安装。该恶意软件窃取凭证并实施勒索，攻击者利用被盗凭证直接访问虚拟机管理程序，绕过防护。专家警告，软件应从官方渠道获取，并采取严格安全措施以防止凭证滥用。

KeePass是一款免费开源的密码管理器，支持多平台，采用AES和Twofish加密，确保安全。用户只需记住一个主密码即可管理所有密码，具备强大的密码生成和组织功能，适合需要管理多个密码的用户。

#Request Tracker (RT) #KeePass进程残留主密钥泄露 #PUTTY-PPK转id_rsa私钥权限提升

#BOF #ROP链 #.data节区注入BOF #R13 #PLT #GOT #函数跳转BOF #KeePass密码管理器密码破译

黑客利用Punycode投放钓鱼广告，谷歌广告系统无法转码，可能导致钓鱼网站显示为真实网站。谷歌已撤下该广告，但可能会有更多黑客使用Punycode进行更精细的钓鱼攻击。

密码管理器KeePass发布2.55版本，使用AES-KDF算法提高安全性，自动检测并提示升级，改进从外部导入密码功能。建议始终使用最新版确保安全。

开源密码管理器KeePass存在安全漏洞，攻击者可以从内存中窃取主密码，解密数据库并盗取用户账号密码。KeePass已推出2.54测试版修复该漏洞，建议用户立即更改主密码并升级到新版本。

KeePass 官方发布声明表示，CVE-2023-24055 漏洞不应该归咎于 KeePass，并且这一漏洞不是其所能够解决的。