Et sikkerhetsproblem i det populære passord manager KeePass 2 ble offentliggjort nylig som påvirker alle versjoner av passord manager, men bare hvis automatisk oppdatering sjekker er aktivert.
KeePass 2 skip med en mulighet til å sjekke med jevne mellomrom for program oppdateringer. Mens oppdateringen kontroller som skal utføres hvis funksjonen er aktivert, automatisk nedlasting og installering av oppdateringer er ikke støttet.
I utgangspunktet, hva som skjer, er at KeePass kommuniserer med en tjeneste for å se om en oppdatering er tilgjengelig. Brukere kan deretter klikker du på oppdater varsling hvis en oppdatering er tilgjengelig for å åpne en side på Internett som gir dem med en last av den nye versjonen av passord manager.
Sårbarheten utnytter det faktum at KeePass 2 utfører oppdatering sjekker over HTTP og HTTPS ikke. En angriper kan utnytte dette ved å stoppe oppdateringen forespørsler, for eksempel på et lokalt nettverk, sende manipulert oppdatere informasjon til KeePass 2 klient, og å få brukerne til å åpne en side på Internett hvor en falsk versjon av KeePass er tilbudt på (eller andre ting til å skje, f.eks. drive-by downloads).
Utvikleren av KeePass vil ikke løse problemet, ifølge rapporten.
Oppdatering: KeePass informasjon filen vil bli digitalt signert som KeePass 2.34, og programvaren vil bare godta informasjon om signaturen kan verifiseres. Kilde
Slik beskytter du deg
Eksisterende KeePass brukere har to alternativer når det kommer til spørsmålet. Det enkleste alternativet innebærer deaktivere søk etter oppdateringer ” i klienten.
Dette er gjort på følgende måte:
- Åpne KeePass 2-programvaren på systemet.
- Velg Verktøy > Alternativer fra menyen på toppen.
- Bytt til Avansert-kategorien i alternativer-vinduet, og fjern haken fra “Sjekk for oppdatering på KeePass oppstart” det.
Ulempen med metoden er at du må finne en måte å holde seg informert i forhold til oppdateringer. Du kan besøke utvikleren nettstedet regelmessig for det, eller abonnere på KeePass RSS-Feed i stedet hvis du bruker en RSS-leser.
Du kan holde oppdatere sjekker aktivert på den andre siden, men i stedet for å klikke på linken fra KeePass når oppdateringer blir funnet, kan du besøke KeePass nettstedet manuelt i stedet for å laste ned oppdateringer fra det på denne måten.
Begge metodene fungerer helt fint, men legg til et nivå ulempe for oppdatering sjekker og nedlasting av prosessen. Likevel, det er anbefalt å gjøre bruk av enten en av dem for å beskytte en av de viktigste programmene på datamaskinen.
Nå er Du: Hvordan håndterer du oppdateringer generelt?