En for nylig offentliggjort, man-in-the-middle-sårbarhed i den populære adgangskodehåndtering KeePass er blevet rettet i KeePass 2.34.
Det spørgsmål krævede en del forberedelse på en del af angriberen til at blive udnyttet med succes. Det tog fordel af KeePass’ opdater ind mekanik, som ikke kontrollere den information, der leveres af KeePass server eller bruge en sikker overførsel protocol til at overføre dem til brugeren.
En angriber kunne manipulere den information til at informere brugerne om nye opdateringer, og derefter levere en manipuleret kopi af KeePass til brugeren, når downloads er indledt.
Angribere kan udnytte spørgsmålet om målrettede angreb, og brugerne vil have til at udføre opdateringen kontrol fra KeePass og klik på linket for at downloade den nye version af programmet fra hjemmesiden, uden at kontrollere sin underskrift.
KeePass 2.34
Det anbefales at downloade KeePass 2.34 fra udviklerens websted direkte for at undgå potentielle problemer.
KeePass 2.34 patches opdateringen ind problem ved at sende den version information fil via HTTPS, digital signering i, og opsætning af password manager, således at det kun vil acceptere version filer med oplysninger, der er digitalt signeret.
Dette forhindrer manden i midten-angreb rettet mod den fil, du tilslutter sikkerhedsproblem i processen.
Side bemærkning: Alle KeePass binære filer er undertegnet, og at det er nemt nok at kontrollere, at den digitale signatur er korrekte. Til at verificere signaturen, skal du åbne KeePass mappe på dit system, skal du højreklikke på en eksekverbar fil, og vælg egenskaber fra menuen, og skift til “digitale signaturer” bagefter.
Signaturen skal læse “Open Source Udvikler, Dominik Reichl”. Hvis det er tilfældet, er den fil, der er legitime.
Andre ændringer i KeePass 2.34
Den nye version af password manager skibe med andre forbedringer, og endda nogle nye funktioner, der er værd at kigge nærmere.
For det første er der en ny mulighed for at låse arbejdsområdet, når det vigtigste KeePass vinduet er minimeret til bakken.
KeePass brugere ved, at de kan indstille programmet til automatisk at låse databasen, der er indlæst i programmet om visse hændelser, såsom inaktivitet, når computeren er låst, eller når fjernbetjeningen tilstand-ændringer.
Den nye indstilling er kun nyttig, hvis KeePass er konfigureret til at minimere til systembakken i stedet for proceslinjen. Du finde det under indstillinger > Værktøjer > Indstillinger > Sikkerhed, og Værktøjer > Indstillinger > Brugerflade.
Forfatteren tilføjet to nye genveje til KeePass at styre programmet. Ctrl-Q fungerer som Alt-F4 i, at det lukker KeePass når den aktiveres, mens ESC kan kortlægges for at minimere hovedvinduet til systembakken i præferencer.
Den KeePass 2.34 installer og bærbare versioner skabe et plugins mappe automatisk, nu under root, der er tom som standard. Plugin-versionen oplysninger filer understøtter signering nu, og de er hentet direkte fra det program, mappe og alle undermapper i Plugins mappen.
Eksisterende KeePass brugere bemærker start performance forbedringer i den seneste version tak til filtrering af plugin kandidater.
Sidst, men ikke mindst, KeePass 2.34 søgninger og sletter midlertidige filer, der oprettes og glemt af MSHTML efter udskriftsjob mislykkedes.
Afsluttende Ord
KeePass 2.34 stik for nylig offentliggjort sikkerhedsproblem, og introducerer en række nye funktioner til password-manager på toppen af det.