libgcrypt 1.9.0 เป็นเวอร์ชันใหม่ของไลบรารีการเข้ารหัสที่สร้างขึ้นในโปรแกรม GNU Privacy Guard (GPG) ที่มีชื่อเสียง อย่างที่คุณทราบกันดีว่าเป็นซอฟต์แวร์ที่ใช้งานได้จริงซึ่งคุณสามารถลงนามข้อมูลเข้ารหัสไฟล์เพื่อป้องกันพวกเขาจากการสอดรู้สอดเห็นของบุคคลที่สาม ฯลฯ นอกจากนี้คุณสามารถเลือกระหว่างการเข้ารหัสและอัลกอริทึมประเภทต่างๆที่มีให้
ห้องสมุดนี้กลายเป็นปัญหาเนื่องจากพวกเขาพบช่องโหว่ที่ค่อนข้างรุนแรงและอาจส่งผลต่อความปลอดภัยของซอฟต์แวร์นี้ นอกจากนี้ยังไม่เพียง ใช้โดย GnuPGซอฟต์แวร์เข้ารหัสอื่น ๆ ใช้ด้วยดังนั้นจึงอาจส่งผลกระทบต่อโปรแกรมอื่นในลักษณะเดียวกัน
ในรายชื่ออีเมลการพัฒนาสำหรับโครงการนี้ผู้พัฒนาที่อยู่เบื้องหลัง GnuPG และ Libgcrypt ได้ส่ง การแจ้งเตือนข้อความ เกี่ยวกับปัญหานี้ ปัญหาที่เกิดขึ้นในช่วงสองสามวันนับตั้งแต่ Libgcrypt 1.9.0 ได้รับการเผยแพร่เมื่อวันที่ 19 มกราคม 2021 ซึ่งหมายความว่าได้รวมอยู่ในเวอร์ชัน GnuPG 2.3 แล้ว
Koch ผู้พัฒนาในตอนแรกไม่ได้ยืนยันที่มาของลักษณะของช่องโหว่นี้ แต่เพียงแค่แจ้งเตือนให้ผู้ใช้หยุดใช้ไลบรารีการเข้ารหัสนี้และได้ประกาศการอัปเดตใหม่เพื่อแก้ไขปัญหาด้านความปลอดภัยนี้
แต่ไม่กี่วันต่อมาในวันที่ 26 มกราคมจะให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ที่สำคัญนี้ซึ่งยังคงไม่มี CVE นี่เป็นปัญหาที่อาจใช้ประโยชน์จากไฟล์ บัฟเฟอร์ล้นซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้โดยไม่ต้องมีการตรวจสอบหรือลายเซ็นใด ๆ ซึ่งเกี่ยวข้อง
สำหรับผู้ค้นพบปัญหานี้คือ Tavis Ormandy นักวิจัยจาก โครงการ Google ศูนย์. และตามที่ได้เรียนรู้แล้วจะมีผลกับเวอร์ชัน Libgcrypt 1.9.0 เท่านั้นไม่ใช่เวอร์ชันอื่น ๆ
หากคุณเป็นหนึ่งในผู้ที่ได้รับผลกระทบที่มีไลบรารีเวอร์ชันนี้คุณสามารถทำได้ เข้าสู่ระบบที่นี่เนื่องจากมีเวอร์ชันอัปเดตพร้อมแพตช์ที่แก้ไขได้ มันคือ Libgcrypt 1.9.1.