„Libgcrypt 1.9.0“ yra nauja šifravimo bibliotekos versija, įmontuota į garsiąją „GNU Privacy Guard“ (GPG) programą. Kaip gerai žinote, tai labai praktiška programinė įranga, kuria galite pasirašyti duomenis, užšifruoti failus, kad apsaugotumėte juos nuo pašalinių trečiųjų šalių žvilgsnių ir kt. Be to, galite pasirinkti įvairius šifravimo tipus ir galimus algoritmus.
Na, ši biblioteka tapo problema, nes joje rado gana didelį pažeidžiamumą ir tai gali pakenkti šios programinės įrangos saugumui. Be to, tai ne tik naudoja GnuPG, jį taip pat naudoja kita šifravimo programinė įranga, todėl tai gali paveikti kitas programas tokiu pačiu būdu.
Šio projekto kūrimo pašto sąraše išsiuntė „GnuPG“ ir „Libgcrypt“ kūrėjas perspėjantis pranešimas apie šią problemą. Keletą dienų aktyvi problema, nes „Libgcrypt 1.9.0“ buvo išleista 19 m. Sausio 2021 d., O tai reiškia, kad ji buvo integruota į „GnuPG 2.3“ versiją.
Kochas, kūrėjas, iš pradžių nepatvirtino šio pažeidžiamumo pobūdžio, jis tiesiog apsiribojo vartotojų įspėjimu nustoti naudoti šią šifravimo biblioteką ir paskelbė naują atnaujinimą, kad išspręstų šią saugos problemą.
Tačiau po kelių dienų, sausio 26 d., Ji suteiks daugiau informacijos apie šį kritinį pažeidžiamumą, kuris vis dar neturi CVE. Tai problema, kuria galima pasinaudoti buferio perpildymas, dėl kurio užpuolikas galės prieiti prie duomenų be jokio patikrinimo ar parašo.
Kalbant apie šios problemos atradėją, tai tyrėjas Tavis Ormandy iš "Google" projektas nulis. Kaip sužinota, tai veikia tik „Libgcrypt 1.9.0“ versiją, o ne kitas.
Jei esate vienas iš nukentėjusiųjų, turintis šią šios bibliotekos versiją, galite prisijungti čia, nes yra atnaujinta versija su pleistru, kuris ją išsprendžia. Tai „Libgcrypt 1.9.1“.