Image
8.6.2016 0 Comments

Správca hesiel KeePass 2 obsahuje zraniteľnosť. Opravu prinesie až nová verzia

Rakúsky expert na IT bezpečnosť Florian Bogner objavil chybu v zabezpečení populárneho open source správcu hesiel KeePass už pred istým časom, no tvorca tohto softvéru odmietol vydať opravu. Zraniteľnosť sa nachádza vo funkcii automatickej kontroly aktualizácií. Problém je v tom, že táto funkcia kontroluje nové updaty dialógom uskutočňovaným cez nešifrovaný protokol HTTP, a tak môže byť zneužitá na útok typu man-in-the-middle.

Podľa Bognera by útočník mohol vytvoriť a používateľovi podstrčiť rizikovú aktualizáciu pre KeePass, ktorá by ho presmerovala na škodlivú stránku. Ako by to celé prebiehalo, to si môžete pozrieť vo videu.

Bogner odporúča použiť na oznámenia o aktualizáciách šifrované HTTPS a sťahovať aktualizácie len z dôveryhodného zdroja, prípadne zrušiť automatické aktualizácie. Vývojára tohto správcu hesiel Dominika Reichla informoval o medzere v zabezpečení ešte vo februári, ale ten dal jasne najavo, že ju nemieni hneď opraviť, pretože prechod na HTTPS by znamenal stratu príjmov z inzercie. Reichl vysvetľuje, že presunutie informačných súborov o aktualizácii na HTTPS by nebolo na nič, ak webová stránka KeePass stále používa HTTP. Malo by to zmysel iba vtedy, keby obe strany používali HTTPS.

Na oficiálnej stránke KeePass Reichl odporúča, aby používatelia overovali všetky stiahnuté nové súbory pre KeePass. Pri prvom spustení softvéru je používateľ vyzvaný, aby si ručne zapol kontrolu novej verzie. Všetky oficiálne binárne súbory KeePass vrátane inštalačného súboru, KeePass.exe a ostatných spustiteľných súborov a knižníc DLL sú digitálne podpísané, takže zbehlejší používatelia si môžu overiť, že ide o originálne súbory. To platí pre aktuálnu verziu 2.33, od verzie 2.34 bude digitálne podpísaná aj informácia o dostupnosti novej verzie. KeePass bude potom akceptovať iba takéto súbory, všetky ostatné (modifikované) budú odmietnuté.

Zdroj: engadget.com

bogner.sh/2016

sourceforge.net

Autor: Redakcia

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty

Video: Koľko prejde Tesla Model S s nulovým ukazovateľom nabitia batérie?

06.12.2016 00:20

Dánsky youtuber MrFirelakeDK uverejnil na svojom YouTube virálne video, v ktorom chcel ukázať, koľko jeho elektromobil Tesla Model S 85D dokáže prejsť od chvíle, keď sa na prístrojovej doske zobrazí v ...

Produkty 1

HP vyrobilo pre študentov najtenší konvertibilný notebook na svete, ktorý zvládne aj pád z lavice

06.12.2016 00:12

Novinka v portfóliu HP reaguje na zmeny, ku ktorým v školských triedach v súčasnosti dochádza. Čoraz častejšie sa upúšťa od tradičných metód výučby, ktoré sú založené na prednáškach. Naopak, väčšia po ...

Produkty

Nový LCD panel IPS od Panasonicu prináša kontrast na úrovni OLED

06.12.2016 10:50

Vysoký kontrast je jedna z hlavných predností displejov OLED. No teraz Panasonic vyvinul panel LCD typu IPS (In-Plane Switching), ktorý dosahuje porovnateľný kontrastný pomer, konkrétne na úrovni 1 00 ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá