libgcrypt 1.9.0 ünlü GNU Privacy Guard (GPG) programında yerleşik olarak bulunan şifreleme kitaplığının yeni sürümüdür. Bildiğiniz gibi, verileri imzalayabileceğiniz, dosyaları şifreleyerek üçüncü şahısların meraklı gözlerinden vb. Koruyabileceğiniz çok pratik bir yazılımdır. Ek olarak, farklı şifreleme türleri ve mevcut algoritmalar arasından seçim yapabilirsiniz.
Bu kitaplık, içinde oldukça ciddi bir güvenlik açığı buldukları ve bu yazılımın güvenliğini tehlikeye atabilecekleri için bir sorun haline geldi. Üstelik sadece GnuPG tarafından kullanılıyorDiğer şifreleme yazılımları tarafından da kullanıldığından, diğer programları da aynı şekilde etkileyebilir.
Bu proje için geliştirme posta listesinde, GnuPG ve Libgcrypt'in arkasındaki geliştirici, bir mesaj uyarısı bu sorun hakkında. Libgcrypt 1.9.0'ın 19 Ocak 2021'de piyasaya sürülmesinden bu yana birkaç gündür aktif olan bir sorun, bu da GnuPG 2.3 sürümüne entegre edildiği anlamına geliyor.
Koch, geliştirici, başlangıçta bu güvenlik açığının doğasının kaynağını doğrulamadı, yalnızca kullanıcıları bu şifreleme kitaplığını kullanmayı bırakmaları konusunda uyarmakla sınırlı kaldı ve bu güvenlik sorununu düzeltmek için yeni bir güncelleme duyurdu.
Ancak birkaç gün sonra, 26 Ocak'ta CVE'si olmayan bu kritik güvenlik açığı hakkında daha fazla bilgi verecek. Bu, avantaj sağlayabilecek bir sorundur. arabellek taşması, bu da saldırganın verilere herhangi bir doğrulama veya imza olmadan erişmesine neden olabilir ki bu endişe vericidir.
Bu sorunu keşfeden ise, araştırmacı Tavis Ormandy'dir. Google Proje Sıfır. Ve öğrendiğimiz gibi, sadece Libgcrypt 1.9.0 sürümünü etkiler, diğer sürümleri etkilemez.
Bu kitaplığın bu sürümüne sahip olanlardan biriyseniz, şunları yapabilirsiniz: burada erişim, çünkü onu çözen bir yama içeren güncellenmiş bir sürüm var. Bu, Libgcrypt 1.9.1'dir.