bencede
New member
Açık kaynak şifre yöneticisi KeePass’taki bir güvenlik açığı geçen hafta tartışmalara neden oldu: Sistemde kullanıcı haklarına sahip hırsızlar, KeePass’ın yapılandırmasını, daha fazla geri bildirim olmaksızın veritabanının düz metin dışa aktarımını oluşturacak şekilde değiştirebildiler ( CVE-2023 -24055). Güncellenmiş bir sürümle, geliştirici artık bu davranışı ortadan kaldırmıştır.
KeePass Güncellemesi: Gerçek Güvenlik Kazanımı mı?
2.53.1 sürümünde “Dışa Aktar – Anahtar Tekrarı Yok” yönergesini kaldırdı, yani artık kullanıcılardan her zaman bir parola veritabanını dışa aktarmaları isteniyor. Şimdi ana anahtarlarını girmeleri gerekiyor, diye açıklıyor KeePass değişiklik günlüğü.
Başlangıçta geliştirici, “şifre veritabanının yerel PC’ye bu tür erişimi olan bir saldırgandan korunması gerekmediğine” inanıyordu. Bunun açıklaması temelde geçerlidir.
“KeePass’ta gerçekten bir güvenlik açığı olmadığını” açıkladı. Yapılandırma dosyasına erişim hakları olan herkes, genellikle tüm kullanıcı profiline erişebilir ve bu nedenle çok daha büyük saldırılar gerçekleştirebilir. Kötü niyetli aktörler, kötü amaçlı yazılımı başlangıçta sabitleyebilir, masaüstü kısayollarını değiştirebilir, kayıt defteri değerlerini değiştirebilir veya bir web tarayıcısının kötü amaçlı bir web sitesini otomatik olarak açmasına neden olmak gibi diğer yazılımların yapılandırma dosyalarını değiştirebilir. Taşınabilir sürümün kullanıcıları için, bu haklara sahip saldırganlar tüm program dizinine erişebilir ve KeePass dosyasını kötü amaçlı yazılımla değiştirebilir.
Bu haklara sahip saldırganlar, yapılandırma dosyasına erişmeden KeePass’ın kendisine de saldırabilir. Örneğin, sisteminizde etkin olan bir trojan, parola yöneticisini ve web tarayıcıları gibi diğer yazılımları birçok yönden etkileyebilir. Bu nedenle, parola yöneticisindeki parolalar, bir enfeksiyon durumunda her zaman tehlikeye atılmış olarak değerlendirilmelidir. KeePass’ın belirttiği gibi, “KeePass, güvensiz bir ortamda sihirli bir şekilde güvenli bir şekilde çalışamaz.”
Kullanıcı gereksinimlerinin uygulanması
Şimdi politikayı yazılımdan kaldırmak için seçilen seçenekle, geliştirici, örneğin Sourceforge tartışma forumunda kullanıcının isteğini yerine getirmiştir. Sistem üzerinde uygun haklara sahip bir saldırganın, yapılandırma dosyasındaki “Dışa Aktar – Anahtar yeniden oynatma yok” ilkesini yeniden etkinleştirebileceği şeklindeki ilk argüman, tamamen kaldırıldığı için gereksizdir.
Önerilen editoryal içerik
İzninizle, harici bir anket (Opinary GmbH) buraya yüklenecektir.
Her zaman anketleri yükleyin
Anketi şimdi yükleyin
Ancak güncelleme, bir Truva atı saldırısından sonra, bir şifre yöneticisi kullanılmasına rağmen etkilenen kişilerin şifrelerinin de ele geçirilmiş olarak kabul edilmesi gerektiği şeklindeki temel sorunu değiştirmiyor. Bunlar, bir kötü amaçlı yazılım bulaşmasından hemen sonra değiştirilmelidir.
Ayrıca bakınız:
(dmk)
Haberin Sonu
KeePass Güncellemesi: Gerçek Güvenlik Kazanımı mı?
2.53.1 sürümünde “Dışa Aktar – Anahtar Tekrarı Yok” yönergesini kaldırdı, yani artık kullanıcılardan her zaman bir parola veritabanını dışa aktarmaları isteniyor. Şimdi ana anahtarlarını girmeleri gerekiyor, diye açıklıyor KeePass değişiklik günlüğü.
Başlangıçta geliştirici, “şifre veritabanının yerel PC’ye bu tür erişimi olan bir saldırgandan korunması gerekmediğine” inanıyordu. Bunun açıklaması temelde geçerlidir.
“KeePass’ta gerçekten bir güvenlik açığı olmadığını” açıkladı. Yapılandırma dosyasına erişim hakları olan herkes, genellikle tüm kullanıcı profiline erişebilir ve bu nedenle çok daha büyük saldırılar gerçekleştirebilir. Kötü niyetli aktörler, kötü amaçlı yazılımı başlangıçta sabitleyebilir, masaüstü kısayollarını değiştirebilir, kayıt defteri değerlerini değiştirebilir veya bir web tarayıcısının kötü amaçlı bir web sitesini otomatik olarak açmasına neden olmak gibi diğer yazılımların yapılandırma dosyalarını değiştirebilir. Taşınabilir sürümün kullanıcıları için, bu haklara sahip saldırganlar tüm program dizinine erişebilir ve KeePass dosyasını kötü amaçlı yazılımla değiştirebilir.
Bu haklara sahip saldırganlar, yapılandırma dosyasına erişmeden KeePass’ın kendisine de saldırabilir. Örneğin, sisteminizde etkin olan bir trojan, parola yöneticisini ve web tarayıcıları gibi diğer yazılımları birçok yönden etkileyebilir. Bu nedenle, parola yöneticisindeki parolalar, bir enfeksiyon durumunda her zaman tehlikeye atılmış olarak değerlendirilmelidir. KeePass’ın belirttiği gibi, “KeePass, güvensiz bir ortamda sihirli bir şekilde güvenli bir şekilde çalışamaz.”
Kullanıcı gereksinimlerinin uygulanması
Şimdi politikayı yazılımdan kaldırmak için seçilen seçenekle, geliştirici, örneğin Sourceforge tartışma forumunda kullanıcının isteğini yerine getirmiştir. Sistem üzerinde uygun haklara sahip bir saldırganın, yapılandırma dosyasındaki “Dışa Aktar – Anahtar yeniden oynatma yok” ilkesini yeniden etkinleştirebileceği şeklindeki ilk argüman, tamamen kaldırıldığı için gereksizdir.
Önerilen editoryal içerik
İzninizle, harici bir anket (Opinary GmbH) buraya yüklenecektir.
Her zaman anketleri yükleyin
Anketi şimdi yükleyin
Ancak güncelleme, bir Truva atı saldırısından sonra, bir şifre yöneticisi kullanılmasına rağmen etkilenen kişilerin şifrelerinin de ele geçirilmiş olarak kabul edilmesi gerektiği şeklindeki temel sorunu değiştirmiyor. Bunlar, bir kötü amaçlı yazılım bulaşmasından hemen sonra değiştirilmelidir.
Ayrıca bakınız:
- KeePass – Haber’den hızlı ve güvenli bir şekilde indirin
(dmk)
Haberin Sonu