libgcrypt 1.9.0 ay ang bagong bersyon ng library ng pag-encrypt na binuo sa sikat na programa ng GNU Privacy Guard (GPG). Tulad ng alam mo, ito ay isang napaka praktikal na software kung saan maaari kang mag-sign data, i-encrypt ang mga file upang maprotektahan ang mga ito mula sa mga mata ng mga third party, atbp. Bilang karagdagan, maaari kang pumili sa pagitan ng iba't ibang mga uri ng pag-encrypt at mga magagamit na algorithm.
Sa gayon, ang silid-aklatan na ito ay naging isang problema, dahil natagpuan nila ang isang matinding kahinaan dito at maaaring ikompromiso ang seguridad ng software na ito. Bukod dito, hindi lamang ito ginamit ng GnuPGGinagamit din ito ng iba pang software ng pag-encrypt, kaya maaari itong makaapekto sa iba pang mga programa sa parehong paraan.
Sa listahan ng pagpapaunlad ng pag-mail para sa proyektong ito, ang developer sa likod ng GnuPG at Libgcrypt, ay nagpadala isang mensahe na nag-aalerto tungkol sa problemang ito Isang problema na naging aktibo sa loob ng ilang araw, mula noong ang Libgcrypt 1.9.0 ay inilabas noong Enero 19, 2021, na nangangahulugang isinama ito sa bersyon ng GnuPG 2.3.
Koch, ang developer, hindi paunang nakumpirma ang pinagmulan ng likas na katangian ng kahinaan na ito, nalimitahan lamang ito sa pag-alerto sa mga gumagamit na huminto sa paggamit ng library ng pag-encrypt at inihayag ang isang bagong pag-update upang maitama ang problemang ito sa seguridad.
Ngunit makalipas ang ilang araw, sa Enero 26, magbibigay ito ng karagdagang impormasyon tungkol sa kritikal na kahinaan na ito na patuloy na walang CVE. Ito ay isang problema na maaaring samantalahin a buffer overflow, na maaaring maging sanhi upang ma-access ng umaatake ang data nang walang anumang pag-verify o pirma, na patungkol.
Tulad ng para sa natuklasan ang problemang ito, ito ang mananaliksik na si Tavis Ormandy na nagmula sa Google Project Zero. At, tulad ng natutunan namin, nakakaapekto lamang ito sa bersyon ng Libgcrypt 1.9.0, at hindi sa iba pang mga bersyon.
Kung isa ka sa mga apektado na mayroong bersyon na ito ng library na ito, maaari mo access dito, dahil mayroong isang na-update na bersyon na may isang patch na malulutas ito. Ito ay Libgcrypt 1.9.1.