libgcrypt 1.9.0 est la nouvelle version de la bibliothèque de chiffrement intégrée au célèbre programme GNU Privacy Guard (GPG). Comme vous le savez, c'est un logiciel très pratique avec lequel vous pouvez signer des données, crypter des fichiers pour les protéger des regards indiscrets de tiers, etc. De plus, vous pouvez choisir entre différents types de cryptage et d'algorithmes disponibles.
Eh bien, cette bibliothèque est devenue un problème, car ils y ont trouvé une vulnérabilité assez grave et qui pourrait compromettre la sécurité de ce logiciel. De plus, ce n'est pas seulement utilisé par GnuPGIl est également utilisé par d'autres logiciels de cryptage, de sorte qu'il pourrait affecter d'autres programmes de la même manière.
Sur la liste de diffusion de développement pour ce projet, le développeur derrière GnuPG et Libgcrypt, a envoyé un message d'alerte à propos de ce problème. Un problème qui est actif depuis quelques jours, depuis la sortie de Libgcrypt 1.9.0 le 19 janvier 2021, ce qui signifie qu'il a été intégré dans la version GnuPG 2.3.
Koch, le développeur, n'a pas initialement confirmé l'origine de la nature de cette vulnérabilité, elle s'est simplement limitée à alerter les utilisateurs pour qu'ils arrêtent d'utiliser cette bibliothèque de chiffrement et a annoncé une nouvelle mise à jour pour corriger ce problème de sécurité.
Mais quelques jours plus tard, le 26 janvier, il donnerait plus d'informations sur cette vulnérabilité critique qui perdure sans avoir CVE. C'est un problème qui pourrait profiter d'un débordement de tampon, ce qui pourrait amener l'attaquant à accéder aux données sans aucune vérification ni signature, ce qui est préoccupant.
Quant au découvreur de ce problème, c'est le chercheur Tavis Ormandy de Google Project Zero. Et, comme nous l'avons appris, cela n'affecte que la version Libgcrypt 1.9.0, et pas les autres versions.
Si vous faites partie des personnes concernées disposant de cette version de cette bibliothèque, vous pouvez connectez-vous ici, car il existe une version mise à jour avec un correctif qui le résout. C'est Libgcrypt 1.9.1.