KeePass 2 durch unsichere Update-Funktion gefährdet

KeePass Logo

Der beliebte Passwortmanager KeePass 2 ist durch die Update-Funktion gefährdet und  potentiell angreifbar. Der Entwickler ist sich dem Problem bewusst, lehnt eine Beseitigung der Ursache derzeit aber ab und verweist auf die Zukunft. KeePassX ist nicht betroffen.

Durch eine Schwachstelle in der integrierten Update-Funktion ist der Passwortmanager KeePass 2 offensichtlich für Man-in-the-Middle-Angriffe verwundbar. Der Update-Check läuft über unverschlüsselte HTTP-Anfragen und lässt sich somit theoretisch durch Dritte manipulieren. Es wird zwar kein automatisches Update heruntergeladen, aber bei einer neuen Version öffnet der Update-Check die KeePass-Webseite. Angreifer könnten hier beispielsweise auf falsche Webseiten verweisen und somit manipulierte Versionen von KeePass in Umlauf bringen.

Weitere Details könnt ihr im Blog von Florian Bogner finden, welcher die Verwundbarkeit entdeckt hatte. Außerdem stellt er ein Video zur Verfügung, in dem er einen Man-in-the-Middle-Angriff vorführt:

Bogner hat den Entwickler Dominik Reichl bereits im Februar dieses Jahres über die Sicherheitslücke informiert. Dieser soll noch am gleichen Tag geantwortet haben, dass HTTPS wegen geringeren Werbeeinnahmen aktuell keine praktikable Lösung sein würde. Mittlerweile hat der Entwickler sich auch direkt bei Sourceforge zu Wort gemeldet. Demnach ist er sich dem Problem bewusst und verspricht eine baldige Lösung.

Bis dahin solltet ihr den automatischen Update-Check deaktivieren und die Updates manuell herunterladen. Anschließend solltet ihr die digitale Signatur der Software überprüfen. Sowohl der Installer als auch das Programm selbst sind entsprechend signiert.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

2 Antworten

  1. Tim sagt:

    Wieso nimmt er nicht einfach ein let’s encrypt Zertifikat? Die sind schließlich kostenlos.

  2. tux. sagt:

    Das Perfide ist nicht die Ablehnung, sondern die Begründung dafür: „Ad revenues“ seien betroffen. So ein saudummer Depp.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.