De impact van dit lek is behoorlijk groot. Kwaadwillenden kunnen het update-proces kapen en malware serveren in plaats van de officiële update. Dat is mogelijk omdat het update-proces plaatsvindt via een onversleutelde verbinding. De patch zou ervoor zorgen dat deze verbinding via een versleutelde verbinding plaats vindt, maar hierdoor wordt het lastiger om advertenties te serveren. Deze "indirecte kosten" wil de ontwikkelaar niet mislopen en daarom wordt de patch niet doorgevoerd.

De ontwikkelaar, Dominik Reichl, vindt dat niet zo'n probleem omdat de applicatie na het downloaden van de update nog een extra check uitvoert om te kijken of de gedownloade update de juiste handtekening bevat. Iets dat de onderzoekers die de kwetsbaarheid ontdekt hebben niet voldoende vinden.

De onderzoekers hebben een video op Youtube geplaatst waarin zij laten zien hoe het lek kan worden misbruikt.


Workaround

De onderzoekers raden aan de update-functie niet te gebruiken en de nieuwste versie rechtstreeks van de Keepass-website te halen. Reichl heeft ondertussen een extra post geplaatst op diens eigen website waarin hij verklaart dat het checken van een digitale handtekening voldoende is. Toch laat Reichl het binnenhalen van het informatiebestand in de nieuwste versie van Keepass 2 over HTTPS lopen.