libgcrypt 1.9.0 este noua versiune a bibliotecii de criptare încorporată în celebrul program GNU Privacy Guard (GPG). După cum știți bine, este un software foarte practic cu ajutorul căruia puteți semna date, cripta fișiere pentru a le proteja de ochii curioși ai terților etc. În plus, puteți alege între diferite tipuri de criptare și algoritmi disponibili.
Ei bine, această bibliotecă a devenit o problemă, deoarece au găsit o vulnerabilitate destul de severă și ar putea compromite securitatea acestui software. În plus, nu este numai folosit de GnuPGEste, de asemenea, utilizat de alte programe de criptare, deci ar putea afecta și alte programe în același mod.
Pe lista de discuții de dezvoltare pentru acest proiect, dezvoltatorul din spatele GnuPG și Libgcrypt a trimis un mesaj de avertizare despre această problemă. O problemă activă de câteva zile, de când Libgcrypt 1.9.0 a fost lansat pe 19 ianuarie 2021, ceea ce înseamnă că a fost integrat în versiunea GnuPG 2.3.
Koch, dezvoltatorul, nu a confirmat inițial originea naturii acestei vulnerabilități, a fost pur și simplu limitată la avertizarea utilizatorilor să nu mai folosească această bibliotecă de criptare și a anunțat o nouă actualizare pentru a corecta această problemă de securitate.
Dar câteva zile mai târziu, pe 26 ianuarie, va oferi mai multe informații despre această vulnerabilitate critică care continuă fără a avea CVE. Aceasta este o problemă care ar putea profita de un depășire tampon, ceea ce ar putea determina atacatorul să poată accesa datele fără nicio verificare sau semnătură, ceea ce este îngrijorător.
În ceea ce privește descoperitorul acestei probleme, este cercetătorul din Tavis Ormandy Proiect Google Zero. Și, după cum sa aflat, afectează doar versiunea Libgcrypt 1.9.0 și nu alte versiuni.
Dacă sunteți unul dintre cei afectați care are această versiune a acestei biblioteci, puteți intrați aici, deoarece există o versiune actualizată cu un patch care o rezolvă. Este Libgcrypt 1.9.1.