• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости Обнаружена уязвимость в системе проверки наличия обновлений менеджера паролей KeePass

Обнаружена уязвимость в системе проверки наличия обновлений менеджера паролей KeePass

30.05.2016 исследователь в сфере информационной безопасности Флориан Богнер (Florian Bogner) сообщил об обнаружении уязвимости (CVE-2016-5119) в системе автоматической проверки наличия обновлений менеджера паролей KeePass. Эксплуатация уязвимости позволяет злоумышленнику осуществить атаку типа «человек по-середине» (man-in-the-middle, MitM) и перенаправить пользователя на страницу, с которой будет загружено вредоносное программное обеспечение (ВПО).

522857

30.05.2016 исследователь в сфере информационной безопасности Флориан Богнер (Florian Bogner) сообщил об обнаружении уязвимости (CVE-2016-5119) в системе автоматической проверки наличия обновлений менеджера паролей KeePass. Эксплуатация уязвимости позволяет злоумышленнику осуществить атаку типа «человек по-середине» (man-in-the-middle, MitM) и перенаправить пользователя на страницу, с которой будет загружено вредоносное программное обеспечение (ВПО).

Уязвимости подвержены все версии KeePass, в том числе 2.33.

Уязвимость существует из-за того, что функция автоматической проверки обновлений использует незащищенный протокол HTTP, чтобы запросить информацию о текущей версии менеджера паролей KeePass, а также при загрузке обновлений. В связи с этим злоумышленник может подменить ARP-пакеты (провести атаку типа ARP-spoofing) или использовать вредоносную точку доступа Wi-Fi для модификации ответа сервера. В результате вместо официального обновления на компьютер пользователя будет загружено ВПО.

Флориан Богнер напоминает разработчикам о необходимости перехода к защищенным HTTPS-протоколам и рекомендует применять механизм HTTP Strict Transport Security (HSTS), активирующий защищённое соединение через протокол HTTPS.
Mozilla выпустила новую версию Firefox В продуктах Cisco обнаружена критическая уязвимость