CVE-2020-27020

Kaspersky Password Manager (versões afetadas não especificadas)

O recurso de geração de senhas do Kaspersky Password Manager não era totalmente seguro do ponto de vista criptográfico, o que, em alguns casos, poderia permitir que um invasor previsse as senhas geradas. Para isso, o invasor precisaria conhecer algumas informações adicionais, como a hora em que a senha foi gerada. A implementação utilizava um gerador de números pseudoaleatórios (PRNG) que gerava senhas com base na hora atual do sistema em segundos, resultando na geração da mesma senha por todas as instâncias do KPM no mesmo segundo. Estima-se que o KPM pudesse gerar cerca de 31,5 milhões de senhas por ano, o que poderia ser quebrado por força bruta em minutos, especialmente se o invasor soubesse a hora aproximada da criação da conta.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.