Une faille de sécurité dans le populaire gestionnaire de mot de passe KeePass 2 a été dévoilé récemment affectant toutes les versions du gestionnaire de mot de passe, mais seulement si la mise à jour automatique contrôles sont activés.
KeePass 2 est livré avec une option pour vérifier périodiquement les mises à jour du programme. Alors que la mise à jour des contrôles sont effectués si la fonctionnalité est activée, les téléchargements automatiques et les installations de mises à jour n’est pas pris en charge.
Fondamentalement, ce qui se passe est que KeePass communique avec un service pour voir si une mise à jour est disponible. L’utilisateur peut alors cliquer sur la notification de mise à jour si une mise à jour est disponible pour ouvrir une page sur l’Internet qui fournit à eux avec un téléchargement de la nouvelle version du gestionnaire de mot de passe.
La vulnérabilité exploite le fait que KeePass 2 effectue des vérifications de mise à jour via HTTP et non HTTPS. Un attaquant pourrait exploiter cette en interceptant les demandes de mise à jour, par exemple sur un réseau local, l’envoi manipulé mise à jour des informations à la KeePass 2 client et les utilisateurs à ouvrir un site sur Internet où une fausse version de KeePass est offert sur (ou d’autres choses, par exemple le lecteur par des téléchargements).
Le développeur de KeePass ne sera pas corrigé le problème, selon le rapport.
Mise à jour: Le KeePass fichier d’information sera signé numériquement que de KeePass 2.34, et le logiciel va accepter de l’information si la signature peut être vérifiée. Source
Comment vous protéger
Existant KeePass les utilisateurs disposent de deux options quand il s’agit de la question. L’option plus facile implique la désactivation de la mise à jour des contrôles dans le client.
C’est fait de la manière suivante:
- Ouvrez le KeePass 2 logiciel sur votre système.
- Sélectionnez Outils > Options dans le menu en haut.
- Allez dans l’onglet Avancé dans la fenêtre des options, puis décochez la case “Vérifier les mises à jour à KeePass de démarrage”.
L’inconvénient de cette méthode est que vous devez trouver un moyen de rester informé en ce qui concerne les mises à jour. Vous pourrez visiter le développeur de site web régulièrement pour cela, ou à vous abonner à la KeePass Flux RSS au lieu si vous utilisez un lecteur RSS.
Vous pouvez conserver les vérifications de mise à jour est activée sur l’autre main, mais au lieu de cliquer sur le lien fourni par KeePass lorsque les mises à jour sont trouvées, visitez le KeePass site manuellement au lieu de télécharger les mises à jour de cette façon.
Les deux méthodes fonctionnent très bien, mais ajouter un niveau de désagréments pour la vérification de mise à jour et le processus de téléchargement. Toutefois, il est recommandé de faire usage de l’un d’entre eux pour protéger l’un des plus importants programmes sur l’ordinateur.
Maintenant, Vous: Comment avez-vous gérer les mises à jour en général?