Správca hesiel KeePass 2 obsahuje zraniteľnosť. Opravu prinesie až nová verzia
Rakúsky expert na IT bezpečnosť Florian Bogner objavil chybu v zabezpečení populárneho open source správcu hesiel KeePass už pred istým časom, no tvorca tohto softvéru odmietol vydať opravu. Zraniteľnosť sa nachádza vo funkcii automatickej kontroly aktualizácií. Problém je v tom, že táto funkcia kontroluje nové updaty dialógom uskutočňovaným cez nešifrovaný protokol HTTP, a tak môže byť zneužitá na útok typu man-in-the-middle.
Podľa Bognera by útočník mohol vytvoriť a používateľovi podstrčiť rizikovú aktualizáciu pre KeePass, ktorá by ho presmerovala na škodlivú stránku. Ako by to celé prebiehalo, to si môžete pozrieť vo videu.
Bogner odporúča použiť na oznámenia o aktualizáciách šifrované HTTPS a sťahovať aktualizácie len z dôveryhodného zdroja, prípadne zrušiť automatické aktualizácie. Vývojára tohto správcu hesiel Dominika Reichla informoval o med ...
Článok je uzamknutý
Prihlásiť pomocou členstva NEXTECH
Článok je uzamknutý
Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU
Prihlásiť pomocou členstva NEXTECH