SigSpoof: A security researcher has discovered a critical vulnerability that affects some of the most popular email programs that use the pattern OpenPGP to encrypt messages.
The revelation comes almost a month after a vulnerability was discovered in encryption tools PGP and S / Mime. These vulnerabilities could allow attackers to read encrypted messages.
Software developer Marcus Brinkmann discovered a new vulnerability called SigSpoof. SigSpoof allows attackers to forge digital signatures with the public key without the need for a private key.
Vulnerability has been described as CVE-2018-12020, and affects many popular email applications: GnuPG, Enigmail, GPGTools and python-gnupg. All applications have now been updated.
Όπως αναφέρει ο ερευνητής, το πρωτόκολλο OpenPGP επιτρέπει να συμπεριληφθεί η παράμετρος "filename" του αρχικού αρχείου εισόδου στα υπογεγραμμένα ή κρυπτογραφημένα μηνύματα, συνδυάζοντάς τα με τα μηνύματα κατάστασης GnuPG, προσθέτοντας μια προκαθορισμένη λέξη-κλειδί που χρησιμοποιείτε για τον διαχωρισμό τους.
"Αυτά τα μηνύματα κατάστασης αναλύονται από τα προγράμματα για να λάβουν information από το gpg για την εγκυρότητα μιας ψηφιακής υπογραφής και άλλων παραμέτρων", ανέφερε ο προγραμματιστής του GnuPG Werner Koch σε μια ανακοίνωση που δημοσιεύθηκε σήμερα.
When decrypting the message on the recipient's computer, the application splits the information using the specified keyword and displays the message with a valid signature if the user has the option enabled in the gpg.conf file.
Ωστόσο, ο ερευνητής διαπίστωσε ότι το συμπεριλαμβανόμενο filename, (που μπορεί να έχει έως και 255 χαρακτήρες), δεν διαχειρίζεται σωστά από τις ευπαθείς εφαρμογές, επιτρέποντας έτσι σε κάποιο εισβολέα να "συμπεριλάβει feeds ή κάποιο κώδικα που του επιτρέπει να αποκτήσει τον έλεγχο."
Ο Brinkman shared three PoCs that show how signatures can be forged in Enigmail and GPGTools and how a signature can be forged from the command line.
Those of you who use the above applications should immediately upgrade to the new versions:
____________________________
- Gmail Do you know that you have two different addresses?
- ShareTube: Watch YouTube videos in sync with your friends
- LaZagneForensic: Find the saved passwords