A vulnerability in better safety της δημοφιλής εφαρμογής KeePass 2 που αποκαλύφθηκε πρόσφατα επηρεάζει όλες τις εκδόσεις του password manager, αλλά μόνο αν είναι ενεργοποιημένες οι αυτόματες ενημερώσεις λογισμικού.
Η εφαρμογή KeePass 2 έχει την δυνατότητα να ελέγχει περιοδικά για ενημερώσεις του προγράμματος. Αν και οι έλεγχοι για νέες ενημερώσεις πραγματοποιούνται ανελλιπώς, εφόσον είναι ενεργοποιημένη η mode, η αυτόματη λήψη και εγκατάσταση των ενημερώσεων δεν υποστηρίζεται.
Ας δούμε τι συμβαίνει: Η εφαρμογή KeePass επικοινωνεί με μια υπηρεσία για να ελέγξει αν υπάρχει διαθέσιμη ενημέρωση. Οι χρήστες μπορούν στη συνέχεια, να κάνουν κλικ για να δουν την ενημερωμένη έκδοση, και εφόσον υπάρχει διαθέσιμη ενημέρωση θα ανοίξει μια σελίδα στο Internet που διαθέτει το archive for download.
Vulnerability takes advantage of the fact that KeePass 2 distributes updates via HTTP rather than HTTPS. An attacker could take advantage of the fact by withholding requests for information, for example on a local network, by sending false information to the KeePass 2 client to make users open an internet site where a malicious version of the KeePass.
KeePass developer will not fix the problem, according to the report.
How to protect yourself:
Those of you using KeePass have one option to disable updates for updates.
Open the KeePass 2 software on your system.
Choose Tools> Options from the menu
On the Advanced tab in the options window, uncheck "Check for KeePass Updates on Startup."
Το μειονέκτημα είναι ότι θα πρέπει να βρείτε έναν τρόπο για ενημερώνεστε για τις νέες ενημερώσεις. Μπορείτε να επισκεφθείτε την ιστοσελίδα της εφαρμογής για αυτό, ή να εγγραφείτε στο KeePass RSS Feed αν usesτε κάποιο πρόγραμμα ανάγνωσης RSS.