Ahultasun bat (CVE-2025-47934) identifikatu da OpenPGP.js liburutegian, erasotzaile bati mezu aldatu bat bidaltzeko aukera ematen diona, eta hartzaileak egiaztatutzat joko du (openpgp.verify eta openpgp.decrypt funtzioek sinadura digitalaren egiaztapen arrakastatsuaren adierazpena itzuliko dute, edukia ordezkatu eta sinadura sortu zen datuetatik desberdina izan arren). Ahultasuna OpenPGP.js 5.11.3 eta 6.1.1 bertsioetan konpondu zen. Arazoak OpenPGP.js 5.x eta 6.x adarretan bakarrik eragiten du, eta ez du OpenPGP.js 4.x-ean eragiten.
OpenPGP.js liburutegiak OpenPGP protokoloaren JavaScript inplementazio autonomoa eskaintzen du, enkriptazio eragiketak egiteko eta nabigatzailean gako publikoetan oinarritutako sinadura digitalekin lan egiteko aukera emanez. Proiektua Proton Mail-eko garatzaileek garatzen ari dira eta, Proton Mail-en mezuen muturretik muturrerako enkriptatzea antolatzeaz gain, FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere eta Passbolt bezalako proiektuetan erabiltzen da.
Ahultasunak txertatutako testu-sinaduren (openpgp.verify) eta sinatutako eta enkriptatutako mezuen (penpgp.decrypt) egiaztatze-prozedurei eragiten die. Erasotzaile batek dauden sinatutako mezuak erabil ditzake mezu berriak sortzeko, eta OpenPGP.js-ren bertsio ahul batek deskonprimitzen dituenean, jatorrizko sinatutako mezuaren edukitik desberdina den ordezko edukia aterako dute. Ahultasunak ez die eragiten testutik bereizita banatzen diren sinadurei (arazoa sinadura testuarekin batera datu-bloke bakar gisa transmititzen denean bakarrik agertzen da).
Mezu faltsu bat sortzeko, erasotzaile batek sinadura txertatua edo bereizia duen mezu bakarra izan behar du, baita mezu horretan sinatutako jatorrizko datuen ezagutza ere. Erasotzaile batek mezua alda dezake, sinaduraren bertsio aldatua zuzentzat har dadin. Era berean, sinadura duten mezu enkriptatuak alda daitezke, deskonprimitzean erasotzaileak gehitutako datuak itzul daitezen.
Iturria: opennet.ru
