Η ευπάθεια που επέτρεπε επιθέσεις man-in-the-middle στον δημοφιλή password manager KeePass φέρεται να έχει καθοριστεί στη νέα ενημερωμένη έκδοση KeePass 2.34.
Ο εισβολέας μπορούσε να αξιοποιήσει με επιτυχία την τεχνική που χρησιμοποιούσαν οι παλαιότερες εκδόσεις του KeePass στον έλεγχο για νέες ενημερώσεις. Η εφαρμογή δεν επαλήθευε τις πληροφορίες που ερχόταν από το διακομιστή του KeePass ούτε χρησιμοποιούσε κάποιο ασφαλές πρωτόκολλο μεταφοράς για τη διαβίβασή της ενημέρωσης στο σύστημα του χρήστη.
Έτσι ο εισβολέας θα μπορούσε να διαχειριστεί τις πληροφορίες και να παραδώσει ένα κακόβουλο αντίγραφο του KeePass στον τελικό χρήστη.
Έτσι αυτή τη στιγμή συνιστάται να κατεβάσετε τη νέα έκδοση KeePass 2.34 από την ιστοσελίδα του project ή από τα links που υπάρχουν παρακάτω και όχι αυτόματα από την εφαρμογή σας.
Η νέα έκδοση KeePass 2.34 διορθώνει το θέμα των ελέγχων ενημερώσεων αποστέλλοντας τις πληροφορίες έκδοσης μέσω HTTPS, και υπογράφοντας τις ψηφιακά. Έτσι από σήμερα θα δέχεται μόνο αρχεία πληροφοριών έκδοσης που έχουν ψηφιακή υπογραφή.
Όλα τα εκτελέσιμα αρχεία του KeePass έχουν υπογραφεί, και είναι αρκετά εύκολο να επαληθεύσετε ότι η ψηφιακή υπογραφή είναι σωστή. Για να επαληθεύσετε την υπογραφή, ανοίξτε τον κατάλογο του KeePass στο σύστημά σας, κάντε δεξί κλικ σε οποιοδήποτε εκτελέσιμο αρχείο, επιλέξτε Ιδιότητες από το μενού, και δείτε τις “ψηφιακές υπογραφές.”
Η υπογραφή θα πρέπει να αναφέρει “Open Source Developer, Dominik Reichl”. Αν δεν το αναφέρει διαγράψτε άμεσα τα αρχεία και σκανάρετε τον υπολογιστή σας με κάποιο αξιόπιστο antivirus.
Να αναφέρουμε ότι η εφαρμογή είναι από τις λίγες του είδους της που προτιμούμε, καθώς αποθηκεύει τους κωδικούς πρόσβασης κρυπτογραφημένους, τοπικά και όχι κάπου στο διαδίκτυο.
KeePass 2.34
Installer:
Portable:
Supported operating systems:
Windows 98 / 98SE / ME / 2000 / XP / 2003 / Vista / 7 / 8 / 10, each 32-bit and 64-bit, Mono (Linux, Mac OS X, BSD, …).
Prerequisites:
Microsoft .NET Framework ≥ 2.0 (already included in Windows Vista and higher) or Mono ≥ 2.6.