Либгкрипт 1.9.0 это новая версия библиотеки шифрования, встроенной в знаменитую программу GNU Privacy Guard (GPG). Как вы хорошо знаете, это очень практичное программное обеспечение, с помощью которого вы можете подписывать данные, шифровать файлы, чтобы защитить их от посторонних глаз и т. Д. Кроме того, вы можете выбирать между различными типами шифрования и доступными алгоритмами.
Что ж, эта библиотека стала проблемой, поскольку они обнаружили в ней довольно серьезную уязвимость, которая может поставить под угрозу безопасность этого программного обеспечения. Кроме того, это не только используется GnuPGОн также используется другим программным обеспечением для шифрования, поэтому может таким же образом повлиять на другие программы.
В списке рассылки разработчиков этого проекта разработчик GnuPG и Libgcrypt отправил сообщение с предупреждением об этой проблеме. Проблема, которая существует уже несколько дней, так как Libgcrypt 1.9.0 был выпущен 19 января 2021 года, что означает, что он был интегрирован в версию GnuPG 2.3.
Кох, разработчик, изначально не подтверждал происхождение этой уязвимости, он просто был ограничен предупреждением пользователей о прекращении использования этой библиотеки шифрования и объявил о новом обновлении для исправления этой проблемы безопасности.
Но несколько дней спустя, 26 января, он предоставит дополнительную информацию об этой критической уязвимости, которая сохраняется без CVE. Это проблема, для которой переполнение буфера, что может привести к тому, что злоумышленник сможет получить доступ к данным без какой-либо проверки или подписи, что вызывает обеспокоенность.
Что касается первооткрывателя этой проблемы, то это исследователь Тэвис Орманди из Google Ноль проекта. И, как мы узнали, это влияет только на версию Libgcrypt 1.9.0, а не на другие версии.
Если вы один из тех, кто имеет эту версию этой библиотеки, вы можете доступ здесь, так как есть обновленная версия с исправлением, которое ее решает. Это Libgcrypt 1.9.1.