libgcrypt 1.9.0 - це нова версія бібліотеки шифрування, вбудованої у відому програму GNU Privacy Guard (GPG). Як ви добре знаєте, це дуже практичне програмне забезпечення, за допомогою якого ви можете підписувати дані, шифрувати файли, щоб захистити їх від сторонніх поглядів третіх осіб тощо. Крім того, ви можете вибрати між різними типами шифрування та доступними алгоритмами.
Що ж, ця бібліотека стала проблемою, оскільки вони виявили в ній досить серйозну вразливість, що може поставити під загрозу безпеку цього програмного забезпечення. Більше того, це не тільки використовується GnuPGВін також використовується іншим програмним забезпеченням для шифрування, тому він може впливати на інші програми таким же чином.
У списку розсилки розробників для цього проекту надійшов розробник, який стоїть за GnuPG та Libgcrypt повідомлення з попередженням про цю проблему. Проблема, яка була активною протягом кількох днів з часу випуску Libgcrypt 1.9.0 19 січня 2021 року, а це означає, що він був інтегрований у версію GnuPG 2.3.
Кох, розробник, спочатку не підтвердив походження природи цієї вразливості, він просто обмежився попередженням користувачів про припинення використання цієї бібліотеки шифрування та оголосив нове оновлення для виправлення цієї проблеми безпеки.
Але через кілька днів, 26 січня, він надасть більше інформації про цю критичну вразливість, яка продовжується без CVE. Це проблема, якою можна скористатися переповнення буфера, що може призвести до того, що зловмисник зможе отримати доступ до даних без будь-якої перевірки чи підпису, що викликає занепокоєння.
Що стосується першовідкривача цієї проблеми, то це дослідник Тавіс Орманді з Google Нуль проекту. І, як ми дізналися, це стосується лише версії Libgcrypt 1.9.0, а не інших версій.
Якщо ви є одним із тих, хто постраждав і має цю версію цієї бібліотеки, ви можете Увійдіть тут, оскільки існує оновлена версія з виправленням, яка її вирішує. Це Libgcrypt 1.9.1.