Správca hesiel KeePass 2 obsahuje zraniteľnosť. Opravu prinesie až nová verzia

Rakúsky expert na IT bezpečnosť Florian Bogner objavil chybu v zabezpečení populárneho open source správcu hesiel KeePass už pred istým časom, no tvorca tohto softvéru odmietol vydať opravu. Zraniteľnosť sa nachádza vo funkcii automatickej kontroly aktualizácií. Problém je v tom, že táto funkcia kontroluje nové updaty dialógom uskutočňovaným cez nešifrovaný protokol HTTP, a tak môže byť zneužitá na útok typu man-in-the-middle. Podľa Bognera by útočník mohol vytvoriť a používateľovi podstrčiť rizikovú aktualizáciu pre KeePass, ktorá by ho presmerovala na škodlivú stránku. Ako by to celé prebiehalo, to si môžete pozrieť vo videu. Bogner odporúča použiť na oznámenia o aktualizáciách šifrované HTTPS a sťahovať aktualizácie len z dôveryhodného zdroja, prípadne zrušiť automatické aktualizácie. Vývojára tohto správcu hesiel Dominika Reichla informoval o med ...