Sicherheitslücke entdeckt

Kein HTTPS: Vorsicht mit KeePass 2

Foto von Sebastian Hardt

von Sebastian Hardt (@hardtboiled)-

Sicherheitsrisiko: Bis auf Weiteres sollten Nutzer des Passwort-Managers KeePass2 die automatische Update-Suche deaktivieren. Wie das geht, erklären wir hier.

KeyPass 2 offenbar anfällig für Malware

Optionen-Menü bei Keepass 2

Wer auf Nummer sicher gehen möchte, entfernt in den Optionen das Häkchen bei der automatischen Update-Suche.  

Quelle: (Screenshot / Dominik Reichl)  KeePass 

Optionen-Menü bei Keepass 2

Wer auf Nummer sicher gehen möchte, entfernt in den Optionen das Häkchen bei der automatischen Update-Suche.  

Quelle: (Screenshot / Dominik Reichl)  KeePass 

KeePass 2, der beliebte Passwort-Manager, hat offenbar eine beträchtliche Sicherheitslücke: Laut einem Bericht von ghack.net können Angreifer manipulierte Update-Benachrichtigungen an den Client senden, da diese nicht etwa über das sichere Protokoll HTTPS, sondern über HTTP ausgeführt werden.

Die Update-Benachrichtigungen, über die eine vermeintlich neue Version der Software heruntergeladen werden kann, könnten dann stattdessen zu einem Download-Link mit Malware weiterleiten. Eine Umstellung auf HTTPS scheint dennoch, auch im Lichte dieser neuerlich entdeckten Sicherheitslücke, nicht in Sicht.

Entwickler Dominik Reichl hat unterdessen Stellung bezogen und in einem Post im KeePass Help Center betont, dass KeePass 2 niemals automatische Updates durchführt, sondern lediglich Benachrichtigungen an den Client sendet. Die Installation der Software erfolge stets manuell durch den User. Diesem empfiehlt er, die digitale Signatur der heruntergeladenen Datei mit einem Rechtsklick zu prüfen. So könne zweifelsfrei festgestellt werden, ob die Datei von einer seriösen Quelle stammt.

Workaround: So umgeht ihr das Problem

Wer ganz auf Nummer sicher gehen möchte, dem empfehlen wir bis auf Weiteres, auf die automatische Suche nach Updates zu verzichten und stattdessen regelmäßig auf der Herstellerseite vorbeizuschauen. Die automatische Update-Suche wird folgendermaßen deaktiviert:

  • Navigiert im Hauptmenü über Tools in die Options
  • Im Reiter-Menü wählt ihr ganz rechts den Tab "Advanced"
  • Bei "Check for update at KeePass startup" das Häkchen entfernen
Sag uns deine Meinung!

Um einen Kommentar zu verfassen, melde Dich an oder registriere Dich jetzt auf Netz.de!

Das könnte dich auch interessieren!
Werbung
Ab ins Netz mit dir