Μία ευπάθεια στην better safety της δημοφιλής εφαρμογής KeePass 2 που αποκαλύφθηκε πρόσφατα επηρεάζει όλες τις εκδόσεις του password manager, αλλά μόνο αν είναι ενεργοποιημένες οι αυτόματες ενημερώσεις software.
The KeePass 2 application has the ability to periodically check for program updates. Although checks for new updates are carried out indefinitely, if the feature is enabled, downloading and installing updates automatically is not supported.
Let's see what happens: The KeePass app contacts a service to check if an update is available. Users can then do click to see the update, and if an update is available it will open a web page that has the file for download.
Vulnerability takes advantage of the fact that KeePass 2 distributes updates via HTTP rather than HTTPS. Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί το γεγονός με παρακράτηση των αιτημάτων ενημέρωσης, για παράδειγμα σε ένα τοπικό δίκτυο, στέλνοντας ψευδείς πληροφορίες ενημέρωσης στο KeePass 2 client, για να κάνει τους χρήστες να ανοίξουν μια by clicking here στο διαδίκτυο, όπου υπάρχει για λήψη μια κακόβουλη έκδοση του KeePass.
The KeePass developer will not fix the problem, according to the report.
How to protect yourself:
Those of you using KeePass have one option to disable updates for updates.
Open the KeePass 2 software on your system.
Choose Tools> Options from the menu
On the Advanced tab in the options window, uncheck "Check for KeePass Updates on Startup."
The downside is that you need to find a way to get informed about new updates. You can visit the application's website for this, or register with the KeePass RSS Feed if you are using an RSS reader.