ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Sicherheit: Passwortmanager KeePass 2 potentiell angreifbar

Ferdinand Thommes
89 Kommentare
Sicherheit: Passwortmanager KeePass 2 potentiell angreifbar
Bild: stevi3boy | CC BY 2.0

Der Passwortmanager KeePass 2 ist potentiell gefährdet, weil der Entwickler sich weigert, eine automatische Update-Routine mit HTTPS besser abzusichern. Die Begründung lautet, Werbeeinnahmen würden mit HTTPS sinken. Somit bleibt KeePass 2 gegen Man-in-the-Middle-Angriffe verwundbar.

Beim ersten Start des Open-Source-Passwortmanagers KeePass 2 wird der Anwender gefragt, ob er der Empfehlung nachkommen und den automatischen Update-Check aktivieren möchte. Wird dies bestätigt, werden bis hin zur aktuellen Version 2.33 unverschlüsselte HTTP-Anfragen verwendet, um auf vorhandene Updates zu prüfen.

Diese Verwundbarkeit hat der Software-Entwickler Florian Bogner (PDF) entdeckt und auf seiner Webseite veröffentlicht. Bogner führt einen Angriff vor, der dem Anwender per Man-in-the-Middle-Angriff vortäuscht, es sei ein Update verfügbar. Dann könnte der Nutzer beispielsweise auf eine Seite geleitet werden, die mit einer präparierten Version von KeePass 2 Malware einspielt. Als Gegenmaßnahme empfiehlt Bogner, den automatischen Update-Check abzuschalten und Aktualisierungen manuell über die mit HTTPS gesicherte Webseite von SourceForge herunterzuladen anstatt über die Downloadseite des Projekts.

Abhilfe „wenn möglich“

Bogner hat nach eigenen Angaben den KeePass-Entwickler Dominik Reichl am 8. Februar privat auf die Lücke aufmerksam gemacht. Gleichzeitig beantragte Bogner eine CVE-Nummer. Reichl soll am gleichen Tag geantwortet haben, HTTPS sei wegen Einbußen bei den Werbeeinnahmen derzeit keine gangbare Lösung. Am 30. Mai wurde von MITRE die Nummer CVE-2016-5119 vergeben. Reichl hat sich gestern auf Nachfragen auf Sourceforge zu dem Problem geäußert und Abhilfe versprochen, „sobald das möglich ist“. Auf die Gründe für sein Verhalten geht er hier nicht ein.

Neben KeePass 2 bietet Reichl auf der gleichen Downloadseite auch die Classic Edition KeePass an. KeePassX wird dagegen unabhängig entwickelt und ist von der potentiellen Lücke nicht betroffen. Die c't hat sich 2015 dem Thema der verminderten Werbeeinnahmen bei Mixed Content gewidmet.

YouTube-Video
Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
Datenschutzerklärung
CB-Funk Podcast #70: Benchmarks ohne Ende, FSR 3.1 (?) und Copilot+ PCs mit Arm mit Fabian und Jan-Frederik
Microsoft Build 2024 (21.–23. Mai 2024): Alle News auf der Themenseite!

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz