libgcrypt 1.9.0 ir šifrēšanas bibliotēkas jaunā versija, kas iebūvēta slavenajā GNU Privacy Guard (GPG) programmā. Kā jūs labi zināt, tā ir ļoti praktiska programmatūra, ar kuru jūs varat parakstīt datus, šifrēt failus, lai pasargātu tos no trešo personu nevēlamiem skatieniem utt. Turklāt jūs varat izvēlēties starp dažādiem šifrēšanas veidiem un pieejamajiem algoritmiem.
Šī bibliotēka ir kļuvusi par problēmu, jo viņi tajā ir atraduši diezgan nopietnu ievainojamību un tas var apdraudēt šīs programmatūras drošību. Turklāt tas nav tikai izmanto GnuPGTo izmanto arī cita šifrēšanas programmatūra, tāpēc tas varētu vienādi ietekmēt citas programmas.
Šī projekta izstrādes adresātu sarakstā ir nosūtījis GnuPG un Libgcrypt izstrādātājs ziņojumu, kas brīdina par šo problēmu. Problēma, kas ir bijusi aktīva dažas dienas, kopš Libgcrypt 1.9.0 tika izlaista 19. gada 2021. janvārī, kas nozīmē, ka tā tika integrēta GnuPG 2.3 versijā.
Kočs, izstrādātājs, sākotnēji neapstiprināja šīs ievainojamības būtību, tā vienkārši aprobežojās ar lietotāju brīdināšanu pārtraukt šīs šifrēšanas bibliotēkas lietošanu un ir paziņojusi par jaunu atjauninājumu šīs drošības problēmas novēršanai.
Dažas dienas vēlāk, 26. janvārī, tas sniegs vairāk informācijas par šo kritisko ievainojamību, kas turpinās bez CVE. Šī ir problēma, kurai a bufera pārpilde, kas varētu izraisīt uzbrucēja piekļuvi datiem bez jebkādas verifikācijas vai paraksta, kas attiecas.
Kas attiecas uz šīs problēmas atklājēju, tas ir pētnieks Tavis Ormandy no Google Project Zero. Un, kā mēs uzzinājām, tas ietekmē tikai Libgcrypt 1.9.0 versiju, nevis citas versijas.
Ja esat viens no skartajiem, kam ir šī bibliotēkas versija, varat piesakieties šeit, jo ir atjaunināta versija ar plāksteri, kas to atrisina. Tas ir Libgcrypt 1.9.1.