libgcrypt 1.9.0 er den nye versjonen av krypteringsbiblioteket innebygd i det berømte GNU Privacy Guard (GPG) -programmet. Som du vet, er det en veldig praktisk programvare som du kan signere data med, kryptere filer for å beskytte dem mot nysgjerrige øyne fra tredjeparter, etc. I tillegg kan du velge mellom forskjellige typer kryptering og tilgjengelige algoritmer.
Vel, dette biblioteket har blitt et problem, siden de har funnet en ganske alvorlig sårbarhet i det, og det kan kompromittere sikkerheten til denne programvaren. Videre er det ikke bare brukt av GnuPG, det brukes også av annen krypteringsprogramvare, så det kan påvirke andre programmer på samme måte.
På utviklingspostlisten for dette prosjektet har utvikleren bak GnuPG og Libgcrypt sendt en melding som varsler om dette problemet. Et problem som har vært aktiv i noen dager, siden Libgcrypt 1.9.0 ble utgitt 19. januar 2021, noe som betyr at den ble integrert i GnuPG 2.3-versjonen.
Koch, utvikleren, bekreftet opprinnelig ikke opprinnelsen til dette sikkerhetsproblemet, det har ganske enkelt vært begrenset til å varsle brukere om å slutte å bruke dette krypteringsbiblioteket, og har kunngjort en ny oppdatering for å rette opp dette sikkerhetsproblemet.
Men noen dager senere, 26. januar, ville det gi mer informasjon om denne kritiske sårbarheten som fortsetter uten å ha CVE. Dette er et problem som kan dra nytte av en bufferoverløp, som kan føre til at angriperen får tilgang til dataene uten bekreftelse eller signatur, noe som gjelder.
Når det gjelder oppdageren av dette problemet, er det forskeren Tavis Ormandy fra Google Project Zero. Og som vi har lært, påvirker det bare Libgcrypt 1.9.0-versjonen, og ikke andre versjoner.
Hvis du er en av de berørte som har denne versjonen av dette biblioteket, kan du tilgang her, siden det er en oppdatert versjon med en oppdatering som løser den. Det er Libgcrypt 1.9.1.