Bregusrwydd yn llyfrgell OpenPGP.js sy'n caniatΓ‘u osgoi dilysu negeseuon

Mae gwendid (CVE-2025-47934) wedi'i nodi yn llyfrgell OpenPGP.js, gan ganiatΓ‘u i ymosodwr anfon neges wedi'i haddasu a fydd yn cael ei gweld gan y derbynnydd fel un wedi'i gwirio (bydd y ffwythiannau openpgp.verify ac openpgp.decrypt yn dychwelyd arwydd o wirio'r llofnod digidol yn llwyddiannus, er gwaethaf y ffaith bod y cynnwys wedi'i ddisodli ac yn wahanol i'r data y crΓ«wyd y llofnod ar ei gyfer). Cafodd y gwendid ei drwsio yn fersiynau OpenPGP.js 5.11.3 a 6.1.1. Dim ond canghennau OpenPGP.js 5.x a 6.x y mae'r broblem yn effeithio arnynt, ac nid yw'n effeithio ar OpenPGP.js 4.x.

Mae llyfrgell OpenPGP.js yn darparu gweithrediad JavaScript hunangynhwysol o'r protocol OpenPGP, sy'n eich galluogi i gyflawni gweithrediadau amgryptio a gweithio gyda llofnodion digidol sy'n seiliedig ar allwedd gyhoeddus yn y porwr. Mae'r prosiect yn cael ei ddatblygu gan ddatblygwyr Proton Mail ac, yn ogystal Γ’ threfnu amgryptio negeseuon o'r dechrau i'r diwedd yn Proton Mail, fe'i defnyddir mewn prosiectau fel FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere a Passbolt.

Mae'r bregusrwydd yn effeithio ar y gweithdrefnau dilysu ar gyfer llofnodion testun mewnosodedig (openpgp.verify) a negeseuon wedi'u llofnodi a'u hamgryptio (penpgp.decrypt). Gall ymosodwr ddefnyddio negeseuon sydd eisoes yn bodoli wedi'u llofnodi i ffurfio negeseuon newydd a fydd, pan gΓ’nt eu dadbacio gan fersiwn agored i niwed o OpenPGP.js, yn echdynnu cynnwys amnewidiol sy'n wahanol i gynnwys y neges wreiddiol wedi'i llofnodi. Nid yw'r bregusrwydd yn effeithio ar lofnodion a ddosberthir ar wahΓ’n i'r testun (dim ond pan drosglwyddir y llofnod ynghyd Γ’'r testun fel un bloc data y mae'r broblem yn ymddangos).

I greu neges ffug, dim ond un neges gyda llofnod wedi'i fewnosod neu ar wahΓ’n sydd ei hangen ar ymosodwr, yn ogystal Γ’ gwybodaeth am y data gwreiddiol a lofnodwyd yn y neges hon. Gall ymosodwr addasu'r neges fel bod y fersiwn wedi'i haddasu o'r llofnod yn dal i gael ei hystyried yn gywir. Yn yr un modd, gellir addasu negeseuon wedi'u hamgryptio gyda llofnod fel bod y data a ychwanegwyd gan yr ymosodwr yn cael ei ddychwelyd wrth eu dadbacio.

Ffynhonnell: opennet.ru

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd Γ’ diogelwch DDoS, gweinyddwyr VPS VDS πŸ”₯ Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster