'n Kwetsbaarheid (CVE-2025-47934) is in die OpenPGP.js-biblioteek geïdentifiseer, wat 'n aanvaller toelaat om 'n gewysigde boodskap te stuur wat deur die ontvanger as geverifieer beskou sal word (die openpgp.verify- en openpgp.decrypt-funksies sal 'n aanduiding van suksesvolle verifikasie van die digitale handtekening teruggee, ten spyte van die feit dat die inhoud vervang is en verskil van die data waarvoor die handtekening geskep is). Die kwesbaarheid is in OpenPGP.js 5.11.3 en 6.1.1 vrystellings reggestel. Die probleem raak slegs OpenPGP.js 5.x en 6.x takke, en raak nie OpenPGP.js 4.x nie.
Die OpenPGP.js-biblioteek bied 'n selfstandige JavaScript-implementering van die OpenPGP-protokol, wat jou toelaat om enkripsiebewerkings uit te voer en met publieke sleutel-gebaseerde digitale handtekeninge in die blaaier te werk. Die projek word ontwikkel deur Proton Mail-ontwikkelaars en word, benewens die organisering van end-tot-end-enkripsie van boodskappe in Proton Mail, gebruik in projekte soos FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere en Passbolt.
Die kwesbaarheid beïnvloed die verifikasieprosedures vir ingebedde tekshandtekeninge (openpgp.verify) en getekende en geïnkripteerde boodskappe (penpgp.decrypt). 'n Aanvaller kan bestaande getekende boodskappe gebruik om nuwe boodskappe te vorm wat, wanneer dit deur 'n kwesbare weergawe van OpenPGP.js uitgepak word, vervangende inhoud sal onttrek wat verskil van die inhoud van die oorspronklike getekende boodskap. Die kwesbaarheid raak nie handtekeninge wat afsonderlik van die teks versprei word nie (die probleem verskyn slegs wanneer die handtekening saam met die teks as 'n enkele datablok oorgedra word).
Om 'n vals boodskap te skep, hoef 'n aanvaller slegs een boodskap met 'n ingebedde of aparte handtekening te hê, asook kennis van die oorspronklike data wat in hierdie boodskap onderteken is. 'n Aanvaller kan die boodskap wysig sodat die gewysigde weergawe van die handtekening steeds as korrek beskou sal word. Net so kan geïnkripteerde boodskappe met 'n handtekening gewysig word sodat die data wat deur die aanvaller bygevoeg is, terugbesorg sal word wanneer dit uitgepak word.
Bron: opennet.ru
