Sophosは2月21日(米国時間)、「Password managers leaking data in memory, but you should still use one」において、人気の高い複数のパスワード管理アプリケーションにメモリリークの問題があると指摘した。
セキュリティ・コンサルティング・ファームであるIndependent Security Evaluatorsが掲載した「Password Managers: Under the Hood of Secrets Management」の内容を引き合いに出し、次のプロダクトに問題があると指摘している。どのプロダクトも1000万人以上のユーザーがいると見られている。
問題が指摘されているプロダクトは次のとおり。
- 1Password4 for Windows (v4.6.2.626)
- 1Password7 for Windows (v7.2.576)
- Dashlane for Windows (v6.1843.0)
- KeePass Password Safe (v2.40)
- LastPass for Applications (v4.1.59)
記事では、Independent Security Evaluatorsの調査結果を受け、特定の状況下でメモリリークの危険性があるものの、これらプロダクトを利用して得られることの利点のほうが多いとし、パスワード管理アプリケーションは使ったほうがよいとアドバイスしている。大切なことは、こうした重要なアプリケーションの問題を発見することと、ベンダーがアプリケーションを修正していくことと指摘している。
また、この問題を低減する方法として、利用していない時はパスワード管理アプリケーションを終了すること、可能な限り2要素認証を使うことなどが挙げられている。