libgcrypt 1.9.0 è la nuova versione della libreria di crittografia incorporata nel famoso programma GNU Privacy Guard (GPG). Come ben saprai, si tratta di un software molto pratico con cui firmare dati, crittografare file per proteggerli da occhi indiscreti di terze parti, ecc. Inoltre, puoi scegliere tra diversi tipi di crittografia e algoritmi disponibili.
Bene, questa libreria è diventata un problema, dal momento che hanno trovato una vulnerabilità piuttosto grave in essa e che potrebbe compromettere la sicurezza di questo software. Inoltre, non è solo utilizzato da GnuPGViene utilizzato anche da altri software di crittografia, quindi potrebbe influenzare altri programmi allo stesso modo.
Sulla mailing list di sviluppo per questo progetto, lo sviluppatore dietro GnuPG e Libgcrypt, ha inviato un messaggio di avviso su questo problema. Un problema attivo da alcuni giorni, da quando Libgcrypt 1.9.0 è stato rilasciato il 19 gennaio 2021, il che significa che era integrato nella versione GnuPG 2.3.
Koch, lo sviluppatore, inizialmente non ha confermato l'origine della natura di questa vulnerabilità, si è semplicemente limitato ad avvisare gli utenti di smettere di utilizzare questa libreria di crittografia e ha annunciato un nuovo aggiornamento per correggere questo problema di sicurezza.
Ma pochi giorni dopo, il 26 gennaio, avrebbe fornito ulteriori informazioni su questa vulnerabilità critica che continua a non avere CVE. Questo è un problema che potrebbe trarre vantaggio da un file buffer overflow, che potrebbe consentire all'autore dell'attacco di accedere ai dati senza alcuna verifica o firma, il che è preoccupante.
Per quanto riguarda lo scopritore di questo problema, è il ricercatore Tavis Ormandy di Google Project Zero. E, come abbiamo appreso, interessa solo la versione di Libgcrypt 1.9.0 e non altre versioni.
Se sei uno di quelli interessati che ha questa versione di questa libreria, puoi farlo accesso qui, poiché esiste una versione aggiornata con una patch che lo risolve. È Libgcrypt 1.9.1.