libgcrypt 1.9.0 je nova različica šifrirne knjižnice, vgrajene v znameniti program GNU Privacy Guard (GPG). Kot dobro veste, gre za zelo praktično programsko opremo, s katero lahko podpisujete podatke, šifrirate datoteke, da jih zaščitite pred radovednimi pogledi tretjih oseb itd. Poleg tega lahko izbirate med različnimi vrstami šifriranja in razpoložljivimi algoritmi.
No, ta knjižnica je postala problem, saj so v njej našli precej hudo ranljivost, ki bi lahko ogrozila varnost te programske opreme. Poleg tega ni samo uporablja GnuPG, uporablja ga tudi druga programska oprema za šifriranje, zato lahko na enak način vpliva na druge programe.
Na razvojni poštni seznam za ta projekt je poslal razvijalec, ki stoji za GnuPG in Libgcrypt sporočilo, ki opozori o tej težavi. Težava, ki deluje že nekaj dni, odkar je bil 1.9.0. januarja 19 izdan Libgcrypt 2021, kar pomeni, da je bil vključen v različico GnuPG 2.3.
Koch, razvijalec, prvotno ni potrdil izvora narave te ranljivosti, je bil preprosto omejen na opozarjanje uporabnikov, naj prenehajo uporabljati to šifrirno knjižnico, in napovedal novo posodobitev za odpravo te varnostne težave.
Toda nekaj dni kasneje, 26. januarja, bo dal več informacij o tej kritični ranljivosti, ki se nadaljuje brez CVE. To je težava, ki bi jo lahko izkoristili preliv medpomnilnika, zaradi česar bi lahko napadalec lahko dostopal do podatkov brez kakršnega koli preverjanja ali podpisa, kar je zaskrbljujoče.
Kar zadeva odkritelja tega problema, je to raziskovalec Tavis Ormandy iz Google Project Zero. Kot smo že izvedeli, vpliva le na različico Libgcrypt 1.9.0 in ne na druge različice.
Če ste eden izmed prizadetih, ki ima to različico te knjižnice, lahko dostop tukaj, saj obstaja posodobljena različica s popravkom, ki jo reši. To je Libgcrypt 1.9.1.