Ett säkerhetsproblem i den populära KeePass password manager 2 avslöjades nyligen påverkar alla versioner av password manager men bara om automatiska uppdateringar är aktiverade.
KeePass 2 fartyg med en möjlighet att kontrollera regelbundet för uppdateringar. Medan uppdatering kontroller utförs om funktionen är aktiverad, automatiska nedladdningar och installationer av uppdateringar stöds inte.
I grund och botten, vad som händer är att KeePass har förbindelse med en service för att se om det finns en uppdatering tillgänglig. Användare kan klicka sedan på uppdatera för att göra en anmälan om en uppdatering finns tillgänglig för att öppna en sida på Internet som ger dem en hämtning av den nya versionen av password manager.
Sårbarhet att utnyttja det faktum att KeePass 2 utför uppdateringar via HTTP och inte är HTTPS. En angripare kan utnyttja detta genom att fånga upp önskemål om uppdateringar-till exempel på ett lokalt nätverk, skicka riggade uppdatera information till KeePass 2-klient, och att få användare att öppna en sida på Internet där en falsk version av KeePass erbjuds på (eller andra saker att hända, exempelvis drive-by downloads).
Utvecklaren av KeePass kommer inte att lösa problemet, enligt rapporten.
Uppdatering: KeePass information som filen kommer att vara digitalt signerade av KeePass 2.34, och programmet kommer endast att acceptera information om signaturen kan kontrolleras. Källa
Hur du skyddar dig
Befintliga KeePass användare har två alternativ när det kommer till den frågan. Enklare alternativet innebär att inaktivera uppdateringar i klienten.
Detta görs på följande sätt:
- Öppna KeePass 2 programvara på din dator.
- Välj Verktyg > Alternativ från menyn längst upp.
- Växla till fliken Avancerat i fönstret inställningar, och ta bort markeringen från “leta efter uppdatering på KeePass start”.
Nackdelen med metoden är att du måste hitta ett sätt att hålla sig informerad om när det gäller uppdateringar. Du kan besöka utvecklare webbplats regelbundet för att, eller prenumerera på KeePass RSS-Flöde istället om du använder en RSS-läsare.
Du kan hålla uppdateringar är aktiverade på den andra sidan men i stället för att klicka på länken som finns med KeePass när det finns uppdateringar, besök KeePass webbplats manuellt istället för att ladda ner uppdateringar från det på detta sätt.
Båda metoderna fungerar bra, men att lägga till en nivå av besvär för uppdatering kontrollera och ladda ner processen. Fortfarande är det rekommenderat att använda sig av någon av dem för att skydda en av de viktigaste programmen på datorn.
Nu är Du: Hur gör du för att hantera uppdateringar i allmänhet?