Новости

Обнаружена уязвимость в системе проверки наличия обновлений менеджера паролей KeePass

06.06.2016
Обнаружена уязвимость в системе проверки наличия обновлений менеджера паролей KeePass
30.05.2016 исследователь в сфере информационной безопасности Флориан Богнер (Florian Bogner) сообщил об обнаружении уязвимости (CVE-2016-5119) в системе автоматической проверки наличия обновлений менеджера паролей KeePass. Эксплуатация уязвимости позволяет злоумышленнику осуществить атаку типа «человек по-середине» (man-in-the-middle, MitM) и перенаправить пользователя на страницу, с которой будет загружено вредоносное программное обеспечение (ВПО).

Уязвимости подвержены все версии KeePass, в том числе 2.33.

Уязвимость существует из-за того, что функция автоматической проверки обновлений использует незащищенный протокол HTTP, чтобы запросить информацию о текущей версии менеджера паролей KeePass, а также при загрузке обновлений. В связи с этим злоумышленник может подменить ARP-пакеты (провести атаку типа ARP-spoofing) или использовать вредоносную точку доступа Wi-Fi для модификации ответа сервера. В результате вместо официального обновления на компьютер пользователя будет загружено ВПО.

Флориан Богнер напоминает разработчикам о необходимости перехода к защищенным HTTPS-протоколам и рекомендует применять механизм HTTP Strict Transport Security (HSTS), активирующий защищённое соединение через протокол HTTPS.