Sinun on parempi poistaa päivitysten tarkastukset KeePass 2: ssä

Suojausongelmien hallinnan suojausongelma KeePass 2 julkaistiin äskettäin kaikki salasanan hallinnan versiot, mutta vain, jos automaattiset päivitystarkastukset ovat käytössä.

KeePass 2: llä on mahdollisuus tarkistaa säännöllisesti ohjelmapäivityksiä. Kun päivitystarkastukset suoritetaan, jos ominaisuus on käytössä, automaattisia latauksia ja päivitysten asennuksia ei tueta.

Periaatteessa mitä tapahtuu, KeePass viestii palvelun kanssa, onko päivitys saatavilla. Käyttäjät voivat sitten napsauttaa päivitysilmoitusta, jos on saatavana päivitys, jolla avataan Internet-sivu, joka antaa heille uuden salasanakehitysversion latauksen.

Haavoittuvuus hyödyttää sitä, että KeePass 2 suorittaa päivitystarkastuksia HTTP: llä eikä HTTPS: llä. Hyökkääjä voi hyödyntää tätä haittaamalla päivityspyyntöjä esimerkiksi paikallisverkkoon, lähettämällä manipuloituja päivitystietoja KeePass 2 -asiakkaaseen ja saamalla käyttäjiltä avaamaan sivuston Internetissä, jossa tarjotaan KeePassin väärennetty versio (tai muut asiat esimerkiksi ladata lataukset).

The developer of KeePass won’t fix the issue mukaan raporttiin.

päivitys: KeePass-tietotiedosto allekirjoitetaan digitaalisesti KeePass 2.34: stä, ja ohjelmisto hyväksyy tiedot vain, jos allekirjoitus voidaan tarkistaa. lähde

Miten suojata itseäsi

KeePass 2 -päivitys tarkistetaan

Nykyisillä KeePass-käyttäjillä on kaksi vaihtoehtoa ongelman suhteen. Helpompi vaihtoehto on poistaa päivitystarkastukset asiakkaalta.

Tämä tehdään seuraavasti:

  1. Avaa KeePass 2 -ohjelmisto järjestelmässäsi.
  2. Valitse yläosassa olevasta valikosta Työkalut> Asetukset.
  3. Siirry Lisäasetukset-välilehteen Lisävalinnat-ikkunassa ja poista valintamerkki "Tarkista päivitys KeePassin käynnistyksessä".

Menetelmän haittapuoli on, että sinun on löydettävä keino pysyä ajan tasalla päivitysten suhteen. Voit käydä kehittäjien verkkosivuilla säännöllisesti tai tilata KeePass RSS-syötteen, jos käytät RSS-lukijaa.

Voit pitää päivitystarkistukset käytössä, mutta sen sijaan, että napsautat KeePassin tarjoamaa linkkiä, kun päivitykset löytyvät, käy KeePassin verkkosivustolla manuaalisesti sen sijaan, että lataat sen päivityksiä tällä tavalla.

Molemmat menetelmät toimivat hienosti, mutta lisäävät päivitysten tarkistamiseen ja lataamiseen liittyviä haittoja. Vielä on kuitenkin suositeltavaa käyttää jompikumpi niistä suojaamaan yhtä tärkeimmistä tietokoneen ohjelmista.

Nyt sinä: Miten käsitellä päivityksiä yleensä?

Jätä vastaus

Tämä sivusto käyttää Akismetiä roskapostin vähentämiseksi. Lue, miten kommenttitietosi käsitellään.