libgcrypt 1.9.0 je nová verzia šifrovacej knižnice zabudovanej do slávneho programu GNU Privacy Guard (GPG). Ako dobre viete, jedná sa o veľmi praktický softvér, pomocou ktorého môžete podpisovať údaje, šifrovať súbory, aby ste ich chránili pred zvedavými pohľadmi tretích strán atď. Okrem toho si môžete vybrať z rôznych typov šifrovania a dostupných algoritmov.
Táto knižnica sa stala problémom, pretože v nej našli pomerne veľkú zraniteľnosť, ktorá by mohla ohroziť bezpečnosť tohto softvéru. Ďalej to nie je len tak používa GnuPGPoužíva ho tiež iný šifrovací softvér, takže by mohol rovnakým spôsobom ovplyvniť ďalšie programy.
Na vývojársku konferenciu pre tento projekt poslal vývojár za GnuPG a Libgcrypt upozornenie na správu o tomto probléme. Problém, ktorý je aktívny už niekoľko dní, odkedy bol Libgcrypt 1.9.0 vydaný 19. januára 2021, čo znamená, že bol integrovaný do verzie GnuPG 2.3.
Koch, vývojár, spočiatku nepotvrdil pôvod povahy tejto zraniteľnosti, obmedzil sa iba na varovanie používateľov, aby prestali používať túto šifrovaciu knižnicu, a ohlásil novú aktualizáciu, ktorá tento problém so zabezpečením napraví.
O pár dní neskôr, 26. januára, by však poskytlo viac informácií o tejto kritickej zraniteľnosti, ktorá pokračuje bez použitia CVE. Toto je problém, pre ktorý a pretečenie medzipamäte, čo by mohlo spôsobiť, že útočník bude mať prístup k údajom bez akéhokoľvek overenia alebo podpisu.
Pokiaľ ide o objaviteľa tohto problému, je to výskumník Tavis Ormandy z Google Project Zero. A ako sme sa dozvedeli, ovplyvňuje to iba verziu Libgcrypt 1.9.0, a nie iné verzie.
Ak ste jedným z postihnutých, ktorý má túto verziu tejto knižnice, môžete prístup tu, pretože existuje aktualizovaná verzia s opravnou aktualizáciou. Je to Libgcrypt 1.9.1.