Image
8.6.2016 0 Comments

Správca hesiel KeePass 2 obsahuje zraniteľnosť. Opravu prinesie až nová verzia

Rakúsky expert na IT bezpečnosť Florian Bogner objavil chybu v zabezpečení populárneho open source správcu hesiel KeePass už pred istým časom, no tvorca tohto softvéru odmietol vydať opravu. Zraniteľnosť sa nachádza vo funkcii automatickej kontroly aktualizácií. Problém je v tom, že táto funkcia kontroluje nové updaty dialógom uskutočňovaným cez nešifrovaný protokol HTTP, a tak môže byť zneužitá na útok typu man-in-the-middle.

Podľa Bognera by útočník mohol vytvoriť a používateľovi podstrčiť rizikovú aktualizáciu pre KeePass, ktorá by ho presmerovala na škodlivú stránku. Ako by to celé prebiehalo, to si môžete pozrieť vo videu.

Bogner odporúča použiť na oznámenia o aktualizáciách šifrované HTTPS a sťahovať aktualizácie len z dôveryhodného zdroja, prípadne zrušiť automatické aktualizácie. Vývojára tohto správcu hesiel Dominika Reichla informoval o medzere v zabezpečení ešte vo februári, ale ten dal jasne najavo, že ju nemieni hneď opraviť, pretože prechod na HTTPS by znamenal stratu príjmov z inzercie. Reichl vysvetľuje, že presunutie informačných súborov o aktualizácii na HTTPS by nebolo na nič, ak webová stránka KeePass stále používa HTTP. Malo by to zmysel iba vtedy, keby obe strany používali HTTPS.

Na oficiálnej stránke KeePass Reichl odporúča, aby používatelia overovali všetky stiahnuté nové súbory pre KeePass. Pri prvom spustení softvéru je používateľ vyzvaný, aby si ručne zapol kontrolu novej verzie. Všetky oficiálne binárne súbory KeePass vrátane inštalačného súboru, KeePass.exe a ostatných spustiteľných súborov a knižníc DLL sú digitálne podpísané, takže zbehlejší používatelia si môžu overiť, že ide o originálne súbory. To platí pre aktuálnu verziu 2.33, od verzie 2.34 bude digitálne podpísaná aj informácia o dostupnosti novej verzie. KeePass bude potom akceptovať iba takéto súbory, všetky ostatné (modifikované) budú odmietnuté.

Zdroj: engadget.com

bogner.sh/2016

sourceforge.net

Autor: Redakcia

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty

Podpora Windows 7 sa skončí o tri roky. Tento rok končí Vista a kancelársky balík Microsoft Office 2007

19.01.2017 00:25

Svetovo najpopulárnejší desktopový operačný systém Windows 7 má už takmer 8 rokov. Blíži sa termín oficiálneho ukončenia jeho podpory, ktorý Microsoft určil na 14. januára 2020. Tradičná podpora sa s ...

Produkty

Inovatívne tepelné kamery pre smartfóny prichádzajú na trh

19.01.2017 00:20

Výrobca tepelných kamier Flir Systems odhalil svoju novú kameru, určenú pre Android. Kamera Flir One sa k smartfónu pripevní prostredníctvom portu USB typu C a používateľovi poskytne tepelný obraz obj ...

Produkty

Nový smartfón Microsoftu by sa mal dať rozložiť na veľký tablet

18.01.2017 00:20

Pri kúpe mobilného zariadenia je rozhodujúci aspekt jeho veľkosť. Ak chce používateľ telefonovať a posielať SMS, uprednostní telefón. Ak bude hlavne pracovať s e-mailmi a prehliadať web, hodí sa mu sk ...

Žiadne komentáre

Vyhľadávanie

Kyocer TASK

Najnovšie videá