Бъг в GnuPG компрометира подписани имейли

Дупка в криптографската система на GNU Privacy Guard са идентифицирали експерти по сигурността от Core Security Inc. Уязвимостта може да позволи на недоброжелатели да вкарат свой собствен текст в GnuPG-подписано съобщение, или дори изцяло да подменят оригиналния текст в подписаното писмо.

Програмата GnuPG, базирана на стандарта OpenPGP, позволява на потребителите да криптират и подписват електронна кореспонденция, като по този начин гарантират, че изпратените съобщения са от тях. Също така включва и гъвкава система за управление на ключове.

Откритата уязвимост не е в самия криптиращ алгоритъм, а по-скоро в начина на взаимодействие на GnuPG със софтуер на трети страни, които го използват. Списъкът със засегнатите пощенски клиенти е обширен и включва GNUMail, KMail, Enigmail, Muttо и др.

Free Software Foundation, която поддържа GnuPG, пусна нова версия на програмата и съобщение за проблема на своя сайт. От FSF са решили да пуснат собствен пач, вместо това да прави всеки от разработчиците на засегнатите от проблема продукти, тъй като броят им е доста голям.

Съществува вероятност след прилагане на обновленията някои от уязвимите приложения да не могат да се справят с част от писмата. Това вече е проблем, който трябва да бъде решен от самите разработчици на имейл клиентите.

Коментар