Manu Pitkänen
7. kesäkuuta, 2016 8:56
Viestintävirasto varoittaa KeePass 2 -salasananhallintasovelluksesta löytyneestä haavoittuvuudesta, joka mahdollistaa välimieshyökkäyksen.
Haavoittuvuus liittyy sovelluksen päivitysten tarkastustoiminnon toimintatapaan, jossa tieto uudesta päivityksestä ladataan suojaamattoman HTTP-yhteyden yli ja versiotieto-tiedostoa ei ole digitaalisesti allekirjoitettu. Viestintäviraston mukaan näiden seikkojen takia hyökkääjä voisi esimerkiksi ARP-spooffauksen tai oman WLAN-tukiasemansa avulla ohjata KeePassin käyttäjän lataamaan haitallisen version sovelluksesta.
Uutta KeePass 2 -versiota ei ladata eikä päivitetä automaattisesti, joten käyttäjä voi omalla huolellisuudella välttyä haavoittuvuuden mahdollistamilta ongelmilta.
Korjaus ohjelman toimintatapaan on tulossa versioon 2.34. Tästä versiosta eteenpäin hyväksytään vain digitaalisesti allekirjoitetut versiotieto-tiedostot.