KeePass es un gestor de contraseñas gratuito y de código abierto que permite gestionar contraseñas de forma rápida y sencilla.
Una de las novedades que llegó con KeePass 2.0 fue la posibilidad de comprobar automáticamente la disponibilidad de actualizaciones cada vez que arrancara la aplicación. Mientras que esto es útil en la mayoría de las aplicaciones, una mala implementación de dicha función puede abrir una brecha de seguridad a posibles ataques informáticos.
KeePass 2.0 cuenta desde su lanzamiento con un fallo de seguridad que puede permitir a un atacante comprometer nuestro sistema debido a esta función de actualización. Esto se debe a que el programa utiliza conexiones HTTP y no HTTPS para buscar nuevas versiones. Por ello, un atacante puede explotar estas comunicaciones para engañar al usuario mostrando un mensaje de actualización y redirigiendo el tráfico hacia una página web maliciosa desde donde, por ejemplo, se puede distribuir una versión falsa de este gestor de contraseñas o cualquier otro tipo de malware.
Si queremos evitar ser víctimas de esta vulnerabilidad, lo único que debemos hacer es desactivar la búsqueda de actualizaciones automáticas cada vez que ejecutamos la aplicación.
REDESZONE (03-06-2016)
