Eine Sicherheitslücke in den beliebten Passwort-manager KeePass 2 bekannt war vor kurzem, die alle Versionen von Passwort-manager, aber nur, wenn die automatische update-Prüfungen aktiviert sind.
KeePass 2 Schiffe mit einer option, um in regelmäßigen Abständen überprüfen Sie für Programm-updates. Während des update-checks werden durchgeführt, wenn die Funktion aktiviert ist, automatische downloads und Installation von updates wird nicht unterstützt.
Im Grunde, was passiert ist, dass KeePass kommuniziert mit einem Dienst, um zu sehen, ob ein update verfügbar ist. Benutzer können dann klicken Sie auf die update-Benachrichtigung, wenn ein update verfügbar ist, öffnen Sie eine Seite im Internet, bietet Ihnen den download der neuen version des Passwort manager.
Die Sicherheitslücke nutzt die Tatsache, dass KeePass 2 führt update-Prüfungen über HTTP und nicht HTTPS. Ein Angreifer kann dies ausnutzen, indem er die update-Anfragen, etwa über ein lokales Netzwerk, das senden von manipulierten update-Informationen zu den KeePass 2-client, und der erste Benutzer zum öffnen einer Seite im Internet, wo eine gefälschte version von KeePass angeboten wird (oder andere Dinge passieren, z.B. drive-by-downloads).
Die Entwickler von KeePass nicht beheben das Problem, so der Bericht.
Update: Die KeePass Daten-Datei wird Digital signiert werden, da der KeePass 2.34, und die software erkennt nur die Informationen, wenn die Signatur verifiziert werden kann. Quelle
Wie Sie sich schützen können
Vorhandene KeePass-Nutzer haben zwei Optionen, wenn es um das Thema. Die einfachere Variante beinhaltet die Deaktivierung der update-Prüfungen in den client.
Dies geschieht in der folgenden Weise:
- Öffnen Sie die KeePass 2 software auf Ihrem system.
- Wählen Sie Extras > Optionen aus dem Menü am oberen Rand.
- Wechseln Sie zu der Registerkarte “Erweitert” im Optionen-Fenster, und entfernen Sie das Häkchen bei “Check for update bei KeePass starten” nicht gibt.
Der Nachteil der Methode ist, dass Sie würde einen Weg finden müssen, auf dem Laufenden zu bleiben in Bezug auf updates. Besuchen Sie die Entwickler-website regelmäßig, oder abonnieren Sie den KeePass RSS-Feed, anstatt wenn Sie einen RSS-reader.
Sie bleiben konnten, update-Prüfungen aktiviert, auf der anderen Seite aber anstelle von einem Klick auf den link von KeePass wenn updates gefunden werden, besuchen Sie die KeePass-website manuell herunterladen von updates von es auf diese Weise.
Beide Methoden funktionieren Prima, aber fügen Sie eine Ebene der Unannehmlichkeiten, die der update-Suche und Download-Prozess. Dennoch ist es empfehlenswert, die Verwendung von entweder einer von Ihnen zum Schutz eines der wichtigsten Programme auf dem computer.
Jetzt Sie: Wie gehen Sie mit updates im Allgemeinen?