libgcrypt 1.9.0 je nova verzija biblioteke za šifriranje ugrađena u poznati program GNU Privacy Guard (GPG). Kao što dobro znate, riječ je o vrlo praktičnom softveru pomoću kojeg možete potpisivati podatke, šifrirati datoteke kako biste ih zaštitili od znatiželjnih pogleda trećih strana itd. Pored toga, možete birati između različitih vrsta šifriranja i dostupnih algoritama.
Pa, ova je knjižnica postala problem jer su u njoj pronašli prilično ozbiljnu ranjivost i koja bi mogla ugroziti sigurnost ovog softvera. Štaviše, nije samo koristi GnuPGTakođer ga koristi i drugi softver za šifriranje, pa bi mogao utjecati na ostale programe na isti način.
Na razvojnu mailing listu za ovaj projekt poslao je programer koji stoji iza GnuPG-a i Libgcrypt-a poruka upozorenja o ovom problemu. Problem koji je aktivan nekoliko dana otkako je Libgcrypt 1.9.0 objavljen 19. januara 2021. godine, što znači da je integriran u verziju GnuPG 2.3.
Koch, programer, u početku nije potvrdio porijeklo prirode ove ranjivosti, jednostavno je ograničen na upozoravanje korisnika da prestanu koristiti ovu biblioteku šifriranja i najavio je novo ažuriranje kako bi riješio ovaj sigurnosni problem.
Ali nekoliko dana kasnije, 26. januara, dat će više informacija o ovoj kritičnoj ranjivosti koja se nastavlja bez CVE-a. Ovo je problem za koji a preliv međuspremnika, što bi moglo dovesti do toga da napadač može pristupiti podacima bez ikakve provjere ili potpisa, što je zabrinjavajuće.
Što se tiče otkrivača ovog problema, istraživač je Tavis Ormandy iz Google Project Zero. I, kao što smo saznali, to utječe samo na verziju Libgcrypt 1.9.0, a ne i na druge verzije.
Ako ste jedan od pogođenih koji ima ovu verziju ove biblioteke, možete pristup ovde, jer postoji ažurirana verzija sa zakrpom koja je rješava. To je Libgcrypt 1.9.1.