KeePass è una di quelle cose che si dimentica spesso di aggiornare. Comunque ha ragione a dire che nessun password manager può essere sicuro contro un attaccante che ha già accesso al sistema. Anche senza CVE è sempre possibile carpire la master password da keylogger, le altre dalla clipboard o la master key dalla memoria del processo una volta sbloccato un db. Non è possibile difendersi da un sistema già infetto, per assurdo potrebbe sostituire la shortcut con cui apri keepass e farla puntare ad un fork malevolo che salva una copia della chiave su file, i password manager offrono protezione solo con i dati "a riposo" ovvero impedisce a qualcuno che ottiene il tuo hard disk o il file
.kdbx
di decifrare senza la password e in questo ci riesce bene.