libgcrypt 1.9.0 on uusi versio salauskirjastosta, joka on rakennettu kuuluisaan GNU Privacy Guard (GPG) -ohjelmaan. Kuten hyvin tiedät, se on hyvin käytännöllinen ohjelmisto, jolla voit allekirjoittaa tietoja, salata tiedostoja suojaamaan niitä kolmansien osapuolten uteliailta katseilta. Lisäksi voit valita erilaisten salaustyyppien ja käytettävissä olevien algoritmien välillä.
Tästä kirjastosta on tullut ongelma, koska he ovat löytäneet siinä melko vakavan haavoittuvuuden ja se voi vaarantaa tämän ohjelmiston turvallisuuden. Lisäksi se ei ole vain käyttää GnuPGSitä käytetään myös muissa salausohjelmistoissa, joten se voi vaikuttaa muihin ohjelmiin samalla tavalla.
Tämän projektin kehityspostituslistalle GnuPG: n ja Libgcryptin kehittäjä on lähettänyt hälytysviestin tästä ongelmasta. Muutaman päivän ajan ollut ongelma, koska Libgcrypt 1.9.0 julkaistiin 19. tammikuuta 2021, mikä tarkoittaa, että se integroitiin GnuPG 2.3 -versioon.
Koch, kehittäjä, ei alun perin vahvistanut haavoittuvuuden alkuperää, se on yksinkertaisesti rajoitettu käyttäjien varoittamiseen lopettamaan tämän salauskirjaston käyttö ja ilmoittanut uudesta päivityksestä tämän turvallisuusongelman korjaamiseksi.
Muutama päivä myöhemmin, 26. tammikuuta, se antaisi lisätietoja tästä kriittisestä haavoittuvuudesta, joka jatkuu ilman CVE: tä. Tämä on ongelma, joka voi hyödyntää a puskurin ylivuoto, mikä voi aiheuttaa hyökkääjän pääsyn tietoihin ilman minkäänlaista vahvistusta tai allekirjoitusta.
Mitä tulee tämän ongelman löytäjään, se on tutkija Tavis Ormandy Google Project Zero. Ja kuten olemme oppineet, se vaikuttaa vain Libgcrypt 1.9.0 -versioon, ei muihin versioihin.
Jos olet yksi niistä, joita asia koskee ja jolla on tämä kirjaston versio, voit kirjaudu tänne, koska päivitetty versio sisältää korjaustiedoston, joka ratkaisee sen. Se on Libgcrypt 1.9.1.