hadicanim
Aktif Üye
Açık kaynak şifre yöneticisi KeePass’taki bir güvenlik açığı, geçen hafta tartışmalara neden oldu: sistemde kullanıcı haklarına sahip hırsızlar, KeePass’ın yapılandırmasını, daha fazla geri bildirim olmaksızın veritabanının düz metin dışa aktarımı oluşturulacak şekilde değiştirebildiler (CVE-2023) -24055 ). Güncellenmiş bir sürümle, geliştirici artık bu davranışı ortadan kaldırmıştır.
KeePass Güncellemesi: Gerçek Güvenlik Kazanımı mı?
2.53.1 sürümünde, “Dışa Aktar – Anahtar Tekrarı Yok” kılavuzunu kaldırdı, bu da kullanıcılara artık her zaman bir parola veritabanı dışa aktarma işleminin sorulduğu anlamına geliyor. Artık ana anahtarlarını girmeleri gerekiyor, diye açıklıyor KeePass değişiklik günlüğü.
Başlangıçta geliştirici, “parola veritabanının yerel bilgisayara bu tür erişimi olan bir saldırgana karşı korunmasına gerek olmadığı” görüşünü benimsedi. Bunun açıklaması temelde geçerlidir.
“KeePass’ta gerçekten bir güvenlik açığı olmadığını” açıkladı. Yapılandırma dosyasına erişim hakları olan herkes, genellikle tüm kullanıcı profiline erişebilir ve böylece çok daha geniş kapsamlı saldırılar gerçekleştirebilir. Kötü niyetli aktörler, kötü amaçlı yazılımı başlangıçta sabitleyebilir, masaüstü kısayollarını değiştirebilir, kayıt defteri değerlerini değiştirebilir veya diğer yazılımların yapılandırma dosyalarını değiştirebilir, örneğin bir web tarayıcısının kötü amaçlı bir web sitesini otomatik olarak açmasına neden olabilir. Taşınabilir sürümün kullanıcıları için, bu haklara sahip saldırganlar tüm program dizinine erişebilir ve KeePass dosyasını kötü amaçlı yazılımla değiştirebilir.
Bu haklara sahip saldırganlar, yapılandırma dosyasına erişmeden KeePass’ın kendisine de saldırabilir. Örneğin, sistemde etkin olan bir Truva atı, bir parola yöneticisini ve web tarayıcıları gibi diğer yazılımları birçok yönden etkileyebilir. Bu nedenle, şifre yöneticisindeki şifreler, bir enfeksiyon durumunda her zaman tehlikeye atılmış olarak değerlendirilmelidir. KeePass’ın belirttiği gibi, “KeePass, güvenli olmayan bir ortamda sihirli bir şekilde güvenli bir şekilde çalışamaz.”
Kullanıcı gereksinimlerinin uygulanması
Şimdi politikayı yazılımdan kaldırmak için seçilen seçenekle, geliştirici, örneğin Sourceforge tartışma forumunda kullanıcının isteğini yerine getirmiştir. Sistemde uygun haklara sahip bir saldırganın yapılandırma dosyasındaki “Dışa Aktar – Anahtar Tekrarı Yok” ilkesini yeniden etkinleştirebileceği yönündeki ilk itiraz, tamamen kaldırıldığı için gereksizdir.
Önerilen Haber Amaçlı İçerik
Onayınız ile harici bir anket (Opinary GmbH) buraya yüklenecektir.
Anketleri her zaman yükle
Anketi şimdi yükle
Ancak güncelleme, bir Truva atı saldırısından sonra, bir şifre yöneticisi kullanılmasına rağmen etkilenenlerin şifrelerinin de ele geçirilmiş olarak kabul edilmesi gerektiği şeklindeki temel sorunu değiştirmiyor. Bunlar, bir kötü amaçlı yazılım bulaşmasından hemen sonra değiştirilmelidir.
Ayrıca bakınız:
(dmk)
Haberin Sonu
KeePass Güncellemesi: Gerçek Güvenlik Kazanımı mı?
2.53.1 sürümünde, “Dışa Aktar – Anahtar Tekrarı Yok” kılavuzunu kaldırdı, bu da kullanıcılara artık her zaman bir parola veritabanı dışa aktarma işleminin sorulduğu anlamına geliyor. Artık ana anahtarlarını girmeleri gerekiyor, diye açıklıyor KeePass değişiklik günlüğü.
Başlangıçta geliştirici, “parola veritabanının yerel bilgisayara bu tür erişimi olan bir saldırgana karşı korunmasına gerek olmadığı” görüşünü benimsedi. Bunun açıklaması temelde geçerlidir.
“KeePass’ta gerçekten bir güvenlik açığı olmadığını” açıkladı. Yapılandırma dosyasına erişim hakları olan herkes, genellikle tüm kullanıcı profiline erişebilir ve böylece çok daha geniş kapsamlı saldırılar gerçekleştirebilir. Kötü niyetli aktörler, kötü amaçlı yazılımı başlangıçta sabitleyebilir, masaüstü kısayollarını değiştirebilir, kayıt defteri değerlerini değiştirebilir veya diğer yazılımların yapılandırma dosyalarını değiştirebilir, örneğin bir web tarayıcısının kötü amaçlı bir web sitesini otomatik olarak açmasına neden olabilir. Taşınabilir sürümün kullanıcıları için, bu haklara sahip saldırganlar tüm program dizinine erişebilir ve KeePass dosyasını kötü amaçlı yazılımla değiştirebilir.
Bu haklara sahip saldırganlar, yapılandırma dosyasına erişmeden KeePass’ın kendisine de saldırabilir. Örneğin, sistemde etkin olan bir Truva atı, bir parola yöneticisini ve web tarayıcıları gibi diğer yazılımları birçok yönden etkileyebilir. Bu nedenle, şifre yöneticisindeki şifreler, bir enfeksiyon durumunda her zaman tehlikeye atılmış olarak değerlendirilmelidir. KeePass’ın belirttiği gibi, “KeePass, güvenli olmayan bir ortamda sihirli bir şekilde güvenli bir şekilde çalışamaz.”
Kullanıcı gereksinimlerinin uygulanması
Şimdi politikayı yazılımdan kaldırmak için seçilen seçenekle, geliştirici, örneğin Sourceforge tartışma forumunda kullanıcının isteğini yerine getirmiştir. Sistemde uygun haklara sahip bir saldırganın yapılandırma dosyasındaki “Dışa Aktar – Anahtar Tekrarı Yok” ilkesini yeniden etkinleştirebileceği yönündeki ilk itiraz, tamamen kaldırıldığı için gereksizdir.
Önerilen Haber Amaçlı İçerik
Onayınız ile harici bir anket (Opinary GmbH) buraya yüklenecektir.
Anketleri her zaman yükle
Anketi şimdi yükle
Ancak güncelleme, bir Truva atı saldırısından sonra, bir şifre yöneticisi kullanılmasına rağmen etkilenenlerin şifrelerinin de ele geçirilmiş olarak kabul edilmesi gerektiği şeklindeki temel sorunu değiştirmiyor. Bunlar, bir kötü amaçlı yazılım bulaşmasından hemen sonra değiştirilmelidir.
Ayrıca bakınız:
- KeePass: Haber’den hızlı ve güvenli bir şekilde indirin
(dmk)
Haberin Sonu