8 (800) 707-46-28
Бесплатный звонок из регионов

Исправление уязвимости в криптографическом ПО GnuPG

Главная / Архив новостей / Уязвимость SigSpoof в шифровальном пакете GnuPG исправлена
Уязвимость SigSpoof в шифровальном пакете GnuPG исправлена

Разработчики популярного свободного криптографического пакета GnuPG выпустили исправление уязвимости. Уязвимость получила название SigSpoof и позволяла искажать сообщение о результатах проверки ЭЦП. Проблема затрагивает распространённые пакеты, использующие шифрование GnuPG – Enigmail, GPGTools, python-gnupg и другие.

Для эксплуатации уязвимости в пакете должна быть включена настройка verbose в конфигурационном файле gpg.conf, использующаяся для расширенного вывода информации об ошибках. В таком случае атакующий может вставить статусные сообщения GnuPGP по выбору в парсер приложения и тем самым исказить итог проверки цифровой подписи и дешифрацию сообщений.

Ранее в мае этого года исследователь ИБ из Мюнстера (Германия) Себастиан Шинцель (Sebastian Schinzel) сообщил о найденной критической уязвимости в шировании PGP/GPG и S/MIME, которая позволяла читать содержимое зашифрованных сообщений.

Уязвимости были подвержены следующие инструменты/плагины для шифрования/дешифрования электронной почты и почтовые клиенты, их использующие:

Почтовый клиент

Плагин

Mozilla Thunderbird

Enigmail

Apple Mail

GPGTools

Microsoft Outlook

Gpg4win


PGP (Pretty Good Privacy) – свободно распространяемое ПО с открытым кодом, позволяющее шифровать и подписывать цифровой подписью электронную почту и файлы, а также создавать зашифрованные диски.

S/MIME (Secure/Multipurpose Internet Mail Extensions) – сходная с PGP криптографическая технология, обеспечивающая шифрование сообщений электронной почты и присоединение цифровой подписи к email.



При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

120 просмотров