libgcrypt 1.9.0 on kuulsasse GNU Privacy Guard (GPG) programmi sisseehitatud krüptoteegi uus versioon. Nagu hästi teate, on see väga praktiline tarkvara, millega saate andmeid allkirjastada, faile krüptida, et kaitsta neid kolmandate osapoolte uudishimulike pilkude eest jne. Lisaks saate valida erinevat tüüpi krüptimise ja saadaolevate algoritmide vahel.
Noh, sellest teegist on saanud probleem, kuna nad on selles leidnud üsna tõsise haavatavuse ja see võib kahjustada selle tarkvara turvalisust. Pealegi pole see mitte ainult kasutab GnuPG, kasutab seda ka teine krüptimistarkvara, seega võib see teisi programme samamoodi mõjutada.
Selle projekti arenduse meililoendis on GnuPG ja Libgcrypt'i arendaja saatnud hoiatav sõnum selle probleemi kohta. Mõni päev aktiivne probleem, kuna Libgcrypt 1.9.0 ilmus 19. jaanuaril 2021, mis tähendab, et see integreeriti GnuPG 2.3 versiooni.
Koch, arendajaei kinnitanud algselt selle haavatavuse olemust, see piirdus kasutajate hoiatamisega selle krüptoteegi kasutamise lõpetamiseks ja teatas selle värskenduse kohta selle turvaprobleemi lahendamiseks.
Kuid mõni päev hiljem, 26. jaanuaril, annaks see rohkem teavet selle kriitilise haavatavuse kohta, mis jätkub ilma CVE-ta. See on probleem, mis võiks ära kasutada a puhvri ülevool, mis võib põhjustada ründajale juurdepääsu andmetele ilma kinnitust ja allkirja puudutamata.
Mis puudutab selle probleemi avastajat, siis see on uurija Tavis Ormandy Google Project Zero. Ja nagu me teada saime, mõjutab see ainult versiooni Libgcrypt 1.9.0, mitte teisi versioone.
Kui olete üks neist, keda see raamatukogu mõjutab, saab seda teha juurdepääsu siin, kuna on olemas uuendatud versioon koos selle parandava plaastriga. See on Libgcrypt 1.9.1.