GitHub bloqueou as claves SSH para os usuarios de clientes Git que usan a biblioteca JavaScript de par de claves para xerar claves. Por exemplo, bloqueáronse as claves do cliente Git GitKraken. A vulnerabilidade leva á xeración de claves RSA predicibles debido a un erro que reduce significativamente a calidade da entropía ao xerar unha secuencia aleatoria para as claves. O problema foi solucionado nas versións do par de claves 1.0.4 e GitKraken 8.0.1.
O motivo da vulnerabilidade foi o uso da chamada "b.putByte(String.fromCharCode(next & 0xFF))" durante o proceso de formación da chave, a pesar de que o método fromCharCode foi chamado de novo no método putByte. Chamando dendeCharCode dúas veces ("String.fromCharCode( String.fromCharCode(next & 0xFF)") provocou que a maior parte do búfer de entropía se enchese de ceros, é dicir. a clave foi xerada en base a datos "aleatorios", o 97% composto por ceros.
Fonte: opennet.ru