En sårbarhed i den populære adgangskodehåndtering KeePass 2 blev afsløret for nylig, og som berører alle versioner af password manager-men kun, hvis automatisk opdatering kontrol er aktiveret.
KeePass 2 skibe med en mulighed til at kontrollere med jævne mellemrum efter program opdateringer. Mens opdatere kontrol, der udføres, hvis funktionen er aktiveret, automatisk download og anlæg af opdateringer er ikke understøttet.
Dybest set, hvad der sker, er, at KeePass kommunikerer med en service, for at se, om der er en opdatering tilgængelig. Brugere kan derefter klikke på opdatering af anmeldelsen, hvis der er en tilgængelig opdatering for at åbne en side på Internettet, der giver dem et download af den nye version af password manager.
Sårbarheden udnytter det faktum, at KeePass 2 udfører opdateringen kontrol over HTTP og ikke HTTPS. En angriber kunne udnytte dette ved at opsnappe trafik, for eksempel på et lokalt netværk, sende manipulerede oplysninger om opdatering til KeePass 2-klient, og at få brugerne til at åbne en hjemmeside på Internettet, hvor en falsk version af KeePass er tilbudt på (eller andre ting til at ske, fx drive-by downloads).
Udvikleren af KeePass vil ikke løse problemet, ifølge rapporten.
Opdatering: KeePass information fil, vil være digitalt signeret af KeePass 2.34, og softwaren vil kun acceptere oplysninger, hvis signaturen kan ikke verificeres. Kilde
Sådan beskytter du dig
Eksisterende KeePass brugere har to muligheder, når det kommer til spørgsmålet. Den nemmere løsning indebærer deaktivering opdatere kontrol i klienten.
Dette gøres på følgende måde:
- Åbne KeePass 2 software på dit system.
- Vælg Værktøjer > Valgmuligheder i menuen øverst.
- Skift til fanen Avanceret i vinduet indstillinger, og fjern fluebenet fra “Check for update på KeePass start” der.
Ulempen ved den metode er, at du ville have til at finde en måde at holde sig orienteret i forhold til opdateringer. Du kan besøge den udvikler hjemmesiden regelmæssigt for at, eller abonnere på KeePass RSS-Feed i stedet, hvis du bruger en RSS-læser.
Du kan holde opdatering kontrol er aktiveret på den anden side, men i stedet for at klikke på det link, der er angivet af KeePass, når opdateringer er fundet, kan du besøge KeePass hjemmeside manuelt i stedet for at hente opdateringer fra det på denne måde.
Begge metoder virker fint, men tilføje et niveau af gener til opdatering kontrol og downloading processen. Stadig, det er anbefalede at gøre brug af enten en af dem for at beskytte et af de vigtigste programmer på computeren.
Nu kan Du: Hvordan kan du håndtere opdateringer i almindelighed?