lanzamiento del kit de herramientas (GNU Privacy Guard), compatible con los estándares OpenPGP () y S/MIME, y proporciona utilidades para el cifrado de datos, trabajo con firmas electrónicas, gestión de claves y acceso a almacenes de claves públicas. La nueva versión corrige una vulnerabilidad crítica (), que aparece a partir de la versión 2.2.21 y se explota al importar una clave OpenPGP especialmente diseñada.
Importar una clave con una gran lista especialmente diseñada de algoritmos AEAD puede provocar un desbordamiento y bloqueo de la matriz o un comportamiento indefinido. Cabe señalar que crear un exploit que no sólo provoque un fallo es una tarea difícil, pero no se puede descartar esa posibilidad. La principal dificultad a la hora de desarrollar un exploit se debe a que el atacante sólo puede controlar cada segundo byte de la secuencia, y el primer byte siempre toma el valor 0x04. Los sistemas de distribución de software con verificación de clave digital son seguros porque utilizan una lista predefinida de claves.
Fuente: opennet.ru