Libgcrypt 1.9.0 adalah versi baru pustaka enkripsi yang dibangun ke dalam program GNU Privacy Guard (GPG) yang terkenal. Seperti yang Anda ketahui, ini adalah perangkat lunak yang sangat praktis yang dapat digunakan untuk menandatangani data, mengenkripsi file untuk melindunginya dari mata-mata pihak ketiga, dll. Selain itu, Anda dapat memilih di antara berbagai jenis enkripsi dan algoritme yang tersedia.
Nah, perpustakaan ini telah menjadi masalah, karena mereka telah menemukan kerentanan yang cukup parah di dalamnya dan dapat membahayakan keamanan perangkat lunak ini. Lebih jauh, tidak hanya itu digunakan oleh GnuPG, ini juga digunakan oleh perangkat lunak enkripsi lain, sehingga dapat mempengaruhi program lain dengan cara yang sama.
Pada milis pengembangan untuk proyek ini, pengembang di belakang GnuPG dan Libgcrypt, telah mengirim pesan peringatan tentang masalah ini. Masalah yang telah aktif selama beberapa hari, sejak Libgcrypt 1.9.0 dirilis pada 19 Januari 2021, yang berarti telah terintegrasi dalam versi GnuPG 2.3.
Koch, sang pengembang, pada awalnya tidak mengonfirmasi asal mula sifat kerentanan ini, namun hanya dibatasi untuk memperingatkan pengguna agar berhenti menggunakan pustaka enkripsi ini dan telah mengumumkan pembaruan baru untuk memperbaiki masalah keamanan ini.
Namun beberapa hari kemudian, pada 26 Januari, akan memberikan informasi lebih lanjut tentang kerentanan kritis yang berlanjut tanpa CVE. Ini adalah masalah yang dapat memanfaatkan file buffer overflow, yang dapat menyebabkan penyerang dapat mengakses data tanpa verifikasi atau tanda tangan, yang mengkhawatirkan.
Adapun penemu masalah ini adalah peneliti dari Tavis Ormandy Project Zero Google. Dan, seperti yang telah dipelajari, ini hanya mempengaruhi versi Libgcrypt 1.9.0, dan bukan versi lain.
Jika Anda salah satu dari mereka yang terpengaruh yang memiliki versi perpustakaan ini, Anda bisa masuk disini, karena ada versi yang diperbarui dengan tambalan yang menyelesaikannya. Ini adalah Libgcrypt 1.9.1.