OpenPGP SigSpoof ευπάθεια σε δημοφιλείς εφαρμογές email

SigSpoof: Ένας ερευνητής ασφάλειας ανακάλυψε μια κρίσιμη ευπάθεια που επηρεάζει μερικά από τα πιο δημοφιλή προγράμματα ηλεκτρονικού υ που χρησιμοποιούν το πρότυπο OpenPGP για την κρυπτογράφηση μηνυμάτων.

Η αποκάλυψη έρχεται σχεδόν ένα μήνα μετά από μια ανακάλυψη ευπαθειών σε εργαλεία κρυπτογράφησης PGP και S/Mime. Οι συγκεκριμένες ευπάθειες θα μπορούσαν να επιτρέψουν σε επιτιθέμενους να διαβάσουν κρυπτογραφημένα .SigSpoof

Ο προγραμματιστής Marcus Brinkmann ανακάλυψε μια νέα ευπάθεια που ονόμασε SigSpoof. Η SigSpoof δίνει τη δυνατότητα σε επιτιθέμενους να πλαστογραφήσουν ψηφιακές υπογραφές με το δημόσιο κλειδί, χωρίς να απαιτείται κάποιο ιδιωτικό κλειδί.

Η ευπάθεια έχει χαρακτηριστεί σαν CVE-2018-12020, και επηρεάζει τις πάρα πολλές δημοφιλείς ηλεκτρονικού ταχυδρομείου: GnuPG, Enigmail, GPGTools και python-gnupg. Όλες οι εφαρμογές έχουν πλέον ενημερωθεί.

Όπως αναφέρει ο ερευνητής, το πρωτόκολλο OpenPGP επιτρέπει να συμπεριληφθεί η παράμετρος “filename” του αρχικού αρχείου εισόδου στα υπογεγραμμένα ή κρυπτογραφημένα μηνύματα, συνδυάζοντάς τα με τα μηνύματα κατάστασης GnuPG, προσθέτοντας μια προκαθορισμένη λέξη-κλειδί που χρησιμοποιείτε για τον διαχωρισμό τους.

“Αυτά τα μηνύματα κατάστασης αναλύονται από τα προγράμματα για να λάβουν πληροφορίες από το gpg για την εγκυρότητα μιας ψηφιακής υπογραφής και άλλων παραμέτρων”, ανέφερε ο προγραμματιστής του GnuPG Werner Koch σε μια ανακοίνωση που δημοσιεύθηκε σήμερα.

Κατά την αποκρυπτογράφηση του μηνύματος στον υπολογιστή του παραλήπτη, η εφαρμογή χωρίζει τις πληροφορίες χρησιμοποιώντας τη συγκεκριμένη λέξη-κλειδί και εμφανίζει το με έγκυρη υπογραφή, εάν ο χρήστης έχει την ενεργοποιημένη την επιλογή στο αρχείο gpg.conf.

Ωστόσο, ο ερευνητής διαπίστωσε ότι το συμπεριλαμβανόμενο filename, (που μπορεί να έχει έως και 255 χαρακτήρες), δεν διαχειρίζεται σωστά από τις ευπαθείς εφαρμογές, επιτρέποντας έτσι σε κάποιο εισβολέα να “συμπεριλάβει feeds ή κάποιο κώδικα που του επιτρέπει να αποκτήσει τον έλεγχο.”

Ο Brinkmann μοιράστηκε τρία PoCs που δείχνουν πώς μπορούν να πλαστογραφηθούν οι υπογραφές στα Enigmail και GPGTools και πώς μπορεί να πλαστογραφηθεί μια υπογραφή από τη γραμμή εντολών.

Όσοι από εσάς χρησιμοποιούν τις παραπάνω εφαρμογές καλό θα ήταν να αναβαθμίσετε άμεσα στις νέες εκδόσεις:

____________________________

 

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).