KeePass 2.34 bouchons de problème de sécurité

0
247

Récemment divulgué man-in-the-middle ” une vulnérabilité dans le populaire gestionnaire de mot de passe KeePass a été corrigé dans KeePass 2.34.

La question exige une certaine préparation sur une partie de l’attaquant pour être exploitées avec succès. Il a profité de KeePass’ vérification de mise à jour de la mécanique qui n’a pas vérifié les informations fournies par le KeePass serveur, ni utiliser un protocole de transfert pour les transmettre au système de l’utilisateur.

Un attaquant peut manipuler l’information pour informer les utilisateurs sur les nouvelles mises à jour, et puis d’offrir des manipulé copie de KeePass à l’utilisateur lorsque les téléchargements sont initiées.

Les attaquants peuvent exploiter la question des attaques ciblées seulement, et les utilisateurs auraient à effectuer des vérifications de mise à jour à partir de l’intérieur de KeePass et cliquez sur le lien pour télécharger la nouvelle version du logiciel à partir du site web sans vérification de sa signature.

KeePass 2.34

keepass 2.34

Il est recommandé de télécharger KeePass 2.34 par le développeur site web directement pour éviter d’éventuels problèmes.

KeePass 2.34 correctifs de la mise à jour, vérifiez problème en envoyant les informations de version de fichier via le protocole HTTPS, la signature numérique, et de configurer le gestionnaire de mot de passe de sorte qu’il acceptera uniquement les informations de version des fichiers signés numériquement.

Ce qui empêche l’homme dans le milieu des attaques ciblant le fichier de brancher la question de la sécurité dans le processus.

Note: Tous les KeePass binaires sont signés, et il est assez facile de vérifier que la signature numérique est correcte. Pour vérifier la signature, ouvrez le KeePass répertoire sur votre système, cliquez-droit sur un fichier exécutable, sélectionnez propriétés dans le menu et passer à “signatures numériques” par la suite.

La signature devrait se lire “Développeur Open Source, Dominik Reichl”. Si c’est le cas, le fichier est légitime.

keepass signature

D’autres changements dans KeePass 2.34

La nouvelle version du gestionnaire de mot de passe envoyé avec d’autres améliorations et même quelques nouvelles fonctionnalités qui sont la peine de regarder de plus près.

Tout d’abord, il y a une nouvelle option pour verrouiller l’espace de travail principal de KeePass fenêtre est minimisée dans la barre de tâches.

KeePass les utilisateurs savent qu’ils peuvent configurer le programme de verrouillage automatique de la base de données est chargé dans le programme de certains événements, tels que de l’inactivité, lorsque l’ordinateur est verrouillé, ou lorsque le mode de contrôle à distance des changements.

keepass lock

La nouvelle option est utile uniquement si KeePass est configuré de manière à minimiser dans la barre d’état système au lieu de la barre des tâches. Vous trouverez les préférences sous Outils > Options > Options de Sécurité, et d’Outils > Options > Interface.

L’auteur a ajouté deux nouveaux raccourcis pour KeePass qui contrôle l’état du programme. Ctrl-Q fonctionne comme Alt-F4 en ce qu’elle se ferme KeePass lorsqu’il est invoqué, même si l’ESC peut être mappé à minimiser la fenêtre principale dans la barre d’état système dans les préférences.

La KeePass 2.34 programme d’installation et des versions portables de créer un dossier plugins automatiquement maintenant, en vertu de la racine qui est vide par défaut. Plugin informations de version prend en charge les fichiers de signature maintenant, et ils sont chargés directement à partir du répertoire de l’application et les sous-répertoire du dossier Plugins.

Existant KeePass les utilisateurs peuvent remarquer des performances de démarrage des améliorations dans la version la plus récente grâce à la filtration de plugin candidats.

Dernier mais non le moins, KeePass 2.34 recherche et supprime les fichiers temporaires créés et oublié par MSHTML après les travaux d’impression a échoué.

Le Mot De La Fin

KeePass 2.34 bouchons récemment divulgué problème de sécurité, et introduit quelques nouvelles fonctionnalités pour le gestionnaire de mot de passe sur le dessus de cela.