libgcrypt 1.9.0 is de nieuwe versie van de coderingsbibliotheek die is ingebouwd in het beroemde programma GNU Privacy Guard (GPG). Zoals u wel weet, is het een zeer praktische software waarmee u gegevens kunt ondertekenen, bestanden kunt versleutelen om ze te beschermen tegen nieuwsgierige blikken van derden, enz. Bovendien kunt u kiezen uit verschillende soorten codering en beschikbare algoritmen.
Welnu, deze bibliotheek is een probleem geworden, omdat ze er een behoorlijk ernstige kwetsbaarheid in hebben gevonden die de beveiliging van deze software in gevaar zou kunnen brengen. Bovendien is het niet alleen gebruikt door GnuPGHet wordt ook gebruikt door andere coderingssoftware, dus het kan andere programma's op dezelfde manier beïnvloeden.
Op de ontwikkelingsmailinglijst voor dit project heeft de ontwikkelaar achter GnuPG en Libgcrypt een bericht dat waarschuwt over dit probleem. Een probleem dat al een paar dagen actief is sinds Libgcrypt 1.9.0 werd uitgebracht op 19 januari 2021, wat betekent dat het geïntegreerd was in de GnuPG 2.3-versie.
Koch, de ontwikkelaar, bevestigde aanvankelijk niet de oorsprong van de aard van dit beveiligingslek, het was eenvoudigweg beperkt tot het waarschuwen van gebruikers om te stoppen met het gebruik van deze coderingsbibliotheek en heeft een nieuwe update aangekondigd om dit beveiligingsprobleem op te lossen.
Maar een paar dagen later, op 26 januari, zou het meer informatie geven over deze kritieke kwetsbaarheid die voortduurt zonder CVE. Dit is een probleem dat kan profiteren van een buffer overloop, waardoor de aanvaller toegang zou kunnen krijgen tot de gegevens zonder enige verificatie of handtekening, wat zorgwekkend is.
Wat betreft de ontdekker van dit probleem, het is de onderzoeker Tavis Ormandy van Google Project Zero En, zoals is geleerd, heeft het alleen invloed op de Libgcrypt 1.9.0-versie, en niet op andere versies.
Als u een van de getroffenen bent die deze versie van deze bibliotheek heeft, kunt u dat Log hier in, aangezien er een bijgewerkte versie is met een patch die het oplost. Het is Libgcrypt 1.9.1.