libgcrypt 1.9.0 er den nye version af krypteringsbiblioteket indbygget i det berømte GNU Privacy Guard (GPG) -program. Som du godt ved, er det en meget praktisk software, som du kan underskrive data med, kryptere filer for at beskytte dem mod nysgerrige øjne fra tredjeparter osv. Derudover kan du vælge mellem forskellige typer kryptering og tilgængelige algoritmer.
Nå, dette bibliotek er blevet et problem, da de har fundet en ret alvorlig sårbarhed i det, og det kan kompromittere sikkerheden ved denne software. Desuden er det ikke kun brugt af GnuPGDet bruges også af anden krypteringssoftware, så det kan påvirke andre programmer på samme måde.
På udviklingspostlisten til dette projekt har udvikleren bag GnuPG og Libgcrypt sendt en besked, der advarer om dette problem. Et problem, der har været aktiv i et par dage, siden Libgcrypt 1.9.0 blev frigivet den 19. januar 2021, hvilket betyder, at den blev integreret i GnuPG 2.3-versionen.
Koch, udvikleren, bekræftede oprindeligt ikke oprindelsen til denne sårbarheds karakter, det har simpelthen været begrænset til at advare brugere om at stoppe med at bruge dette krypteringsbibliotek og har annonceret en ny opdatering for at rette dette sikkerhedsproblem.
Men et par dage senere, den 26. januar, ville det give mere information om denne kritiske sårbarhed, der fortsætter uden at have CVE. Dette er et problem, der kan drage fordel af en bufferoverløb, hvilket kan medføre, at angriberen kan få adgang til dataene uden nogen verifikation eller signatur, hvilket vedrører.
Hvad angår opdageren af dette problem, er det forskeren Tavis Ormandy fra Google Project Zero. Og som det er lært, påvirker det kun Libgcrypt 1.9.0-versionen og ikke andre versioner.
Hvis du er en af de berørte, der har denne version af dette bibliotek, kan du log ind her, da der er en opdateret version med en patch, der løser den. Det er Libgcrypt 1.9.1.