Suositusta salasanaohjelmasta löytyi haavoittuvuus – Viestintävirasto varoitti
Viestintävirasto varoittaa KeePass 2 -salasananhallintasovelluksesta löytyneestä haavoittuvuudesta, joka mahdollistaa välimieshyökkäyksen.
Haavoittuvuus liittyy sovelluksen päivitysten tarkastustoiminnon toimintatapaan, jossa tieto uudesta päivityksestä ladataan suojaamattoman HTTP-yhteyden yli ja versiotieto-tiedostoa ei ole digitaalisesti allekirjoitettu. Viestintäviraston mukaan näiden seikkojen takia hyökkääjä voisi esimerkiksi ARP-spooffauksen tai oman WLAN-tukiasemansa avulla ohjata KeePassin käyttäjän lataamaan haitallisen version sovelluksesta.
Uutta KeePass 2 -versiota ei ladata eikä päivitetä automaattisesti, joten käyttäjä voi omalla huolellisuudella välttyä haavoittuvuuden mahdollistamilta ongelmilta.
Korjaus ohjelman toimintatapaan on tulossa versioon 2.34. Tästä versiosta eteenpäin hyväksytään vain digitaalisesti allekirjoitetut versiotieto-tiedostot.
1 KOMMENTTI
Sove921/1
Softpedian artikkelissa mainitaan, että kehittäjä ei alunperin edes aikonut korjata tuota, koska menettäisi mm. mainostuloja. Kritiikki sitten saikin pään kääntymään.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT