libgcrypt 1.9.0 é a nova versão da biblioteca de criptografia integrada no famoso programa GNU Privacy Guard (GPG). Como você bem sabe, é um software muito prático com o qual você pode assinar dados, criptografar arquivos para protegê-los de olhares indiscretos de terceiros, etc. Além disso, você pode escolher entre os diferentes tipos de criptografia e algoritmos disponíveis.
Bem, esta biblioteca tornou-se um problema, pois encontraram uma vulnerabilidade bastante grave nela e que pode comprometer a segurança deste software. Além disso, não é só usado por GnuPGEle também é usado por outro software de criptografia, portanto, pode afetar outros programas da mesma forma.
Na lista de discussão de desenvolvimento para este projeto, o desenvolvedor por trás do GnuPG e Libgcrypt, enviou uma mensagem alertando sobre este problema. Um problema que está ativo há alguns dias, desde o lançamento do Libgcrypt 1.9.0 em 19 de janeiro de 2021, o que significa que foi integrado na versão GnuPG 2.3.
Koch, o desenvolvedor, não confirmou inicialmente a origem da natureza desta vulnerabilidade, limitou-se simplesmente a alertar os usuários para que parassem de usar esta biblioteca de criptografia e anunciou uma nova atualização para corrigir esse problema de segurança.
Mas alguns dias depois, em 26 de janeiro, ele daria mais informações sobre essa vulnerabilidade crítica que continua sem CVE. Este é um problema que poderia tirar proveito de um estouro de buffer, o que pode fazer com que o invasor consiga acessar os dados sem qualquer verificação ou assinatura, o que é preocupante.
Já o descobridor desse problema é o pesquisador Tavis Ormandy da Google Project Zero. E, como aprendemos, isso afeta apenas a versão Libgcrypt 1.9.0, e não outras versões.
Se você é um dos afetados que possuem esta versão desta biblioteca, você pode faça o login aqui, já que existe uma versão atualizada com um patch que resolve. É Libgcrypt 1.9.1.