Eine vor kurzem mitgeteilt, man-in-the-middle-Schwachstelle in der beliebte Passwort-manager KeePass wurde behoben in KeePass 2.34.
Das Problem erforderte einige Vorbereitung auf Teil der Angreifer ausgenutzt werden, um erfolgreich. Es nutzte KeePass’ update-check mechanik, die nicht überprüfen, die Informationen, die von der KeePass-server und verwenden Sie einen sicheren transfer protocol für die übertragung von Sie zu der Benutzer-system.
Ein Angreifer manipulieren die Informationen, die Nutzer zu informieren über neue updates, und dann liefern eine manipulierte Kopie von KeePass, wenn der Benutzer downloads initiiert werden.
Angreifer können das Problem für gezielte Attacken nur, und-Anwender zum ausführen von update-checks innerhalb von KeePass und klicken Sie auf den link zum download der neuen version des Programms von der website ohne zu überprüfen, ob seine Unterschrift.
KeePass 2.34
Es wird empfohlen, download KeePass 2.34 von der Entwickler-website direkt, um zu vermeiden mögliche Probleme.
KeePass 2.34 patches, die update-check-Problem durch das senden der Informationen zur version-Datei über HTTPS, Digital unterzeichnen, und die Einrichtung des Passwort-manager, so dass es nur akzeptieren-version-Informations-Dateien, die Digital signiert sind.
Dies verhindert man in the middle Angriffe auf die Datei, schließen Sie die Frage der Sicherheit in den Prozess.
Anmerkung: Alle KeePass-binaries signiert sind, und es ist leicht genug, um zu überprüfen, dass die digitale Signatur korrekt ist. Um die Signatur zu überprüfen, öffnen Sie das KeePass Verzeichnis auf Ihrem system mit der rechten Maustaste auf eine beliebige ausführbare Datei, wählen Sie Eigenschaften aus dem Menü, und schalten Sie auf “digitale Signaturen” hinterher.
Sollte die Signatur zu Lesen “Open-Source-Entwickler, Dominik Reichl”. Wenn das der Fall ist, wird die Datei legitim ist.
Andere änderungen in KeePass 2.34
Die neue version des Passwort manager Schiffen mit anderen Verbesserungen und auch einige neue features, die es Wert sind genauer betrachtet zu werden.
Erstens gibt es eine neue option zum sperren der Arbeitsfläche, wenn der Haupt-KeePass-Fenster minimiert in die Taskleiste.
KeePass-Nutzer wissen, dass Sie das Programm konfigurieren können, um auto-lock der Datenbank, die geladen wird, in das Programm auf bestimmte Ereignisse, wie zum Beispiel auf Inaktivität, wenn der computer gesperrt ist, oder wenn der remote-control-Modus wechselt.
Die neue option ist nur dann sinnvoll, wenn KeePass ist konfiguriert, um zu minimieren in den Systemtray statt in der Taskleiste. Sie finden die Einstellungen unter Extras > Optionen > Sicherheit und Extras > Optionen > Schnittstelle.
Der Autor fügte zwei neue Verknüpfungen zu KeePass, die zur Steuerung des Programms durch den Staat. Strg-Q-Werke, wie Alt-F4, dass es schließt, KeePass, wenn Sie angerufen werden, während ESC zugeordnet werden kann, minimieren Sie das Hauptfenster in der Taskleiste in die Einstellungen.
Die KeePass 2.34 installer-und portable-Version erstellen Sie eine Plug-in-Ordner wird nun automatisch unter root ist standardmäßig leer. Plug-in-version-Informations-Dateien, unterstützt die Unterzeichnung jetzt, und Sie sind geladen, direkt aus dem Programm-Verzeichnis und alle Unterverzeichnis der Plugins-Ordner.
Vorhandene KeePass-Nutzer können feststellen startup-performance-Verbesserungen in der aktuellen version Dank der Filterung der plugins die Kandidaten.
Nicht zuletzt, KeePass 2.34 sucht und löscht temporäre Dateien erstellt und vergessen, die von MSHTML nach print jobs ist fehlgeschlagen.
Schlusswort
KeePass 2.34 Stecker der kürzlich gemeldete Sicherheitsproblem, und führt einige neue Funktionen, um die Passwort-manager oben auf, dass.