Security
Headlines
HeadlinesLatestCVEs

Headline

CVE-2023-38840: Erase Master Password in memory after login · Issue #476 · bitwarden/desktop

Bitwarden Windows Desktop v2023.5.1 and below allows an attacker with local access to obtain sensitive information via the Bitwarden.exe process.

CVE
Open in Source
#mac#windows#linux#auth

There is an article in German IT-magazine c’t 15/2020 page 28. “Passwortmanager: Sicherheitstest | Dichtheitsprüfung | Passwortmanagern auf Speicher und Netzwerkverkehr geschaut” (translated: Password managers: security test | leak test | password managers on memory and network traffic protected" (behind pay wall)

The authors test common password managers if they keep (master) password in memory before and after login and after logout. It seems they test only the windows versions.

For Bitwarden, they found multiple copies of master passwords in memory dumps after login. Before login and after logout, they didn’t find master password no more in memory.

Dieser Wunsch blieb unerfüllt: Lediglich vor der Eingabe des Masterpassworts konnten wir bei keinem Produkt die Existenz dieses Generalschlüssels im Speicher nachweisen. Sobald aber das Masterpasswort eingegeben war, konnte man es bei fast allen Programmen im Klartext im Speicher vorfinden. Manche vervielfältigten es sogar im Speicher. Es taucht an bis zu 20 verschiedenen Adressen auf. Dass das auch anders geht, zeigen Keepass und Sticky Password. Bei denen gelang es uns nicht, das Masterpasswort im Speicher zu finden.

Nur einem Teil der Programme gelang es, beim Verriegeln auch das Masterpasswort wieder aus dem Speicher zu entfernen: 1Password, Bitwarden, Keepass, Keeper und Sticky Password. Bei den anderen blieb es weiter zugänglich. Trauriger Rekordhalter war Blur: Es verdoppelte die Anzahl der Fundstellen des Masterpassworts von der Anmeldung mit rund 20 auf fast 40 nach der Abmeldung. Ebenso vervielfachten sich bei Avira die Fundstellen auf immerhin zwölf.

DeepL Translation

ToDo:

  • Please check if it is possible to erase master password after login (windows versions)
  • Please check the same issue on desktop for other platforms (OS X/macOS, Linux)
  • Please check browser extentions, if they leak master password

If you need a translated version, I can try to translate article for you. Pls message me.

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda
CVE
CVE-2023-6905
CVE
CVE-2023-6903
CVE
CVE-2023-6904
CVE
CVE-2023-3907
CVE