lanzamento do kit de ferramentas (GNU Privacy Guard), compatible cos estándares OpenPGP () e S/MIME, e ofrece utilidades para o cifrado de datos, traballando con sinaturas electrónicas, xestión de claves e acceso a almacéns de claves públicas. A nova versión corrixe unha vulnerabilidade crítica (), que aparece a partir da versión 2.2.21 e que se aproveita ao importar unha clave OpenPGP especialmente deseñada.
Importar unha clave cunha gran lista especialmente deseñada de algoritmos AEAD pode provocar un desbordamento da matriz e un fallo ou un comportamento indefinido. Nótase que crear un exploit que leve non só a falla é unha tarefa difícil, pero non se pode descartar tal posibilidade. A principal dificultade para desenvolver un exploit débese a que o atacante só pode controlar cada segundo byte da secuencia, e o primeiro byte sempre toma o valor 0x04. Os sistemas de distribución de software con verificación de clave dixital son seguros porque usan unha lista predefinida de claves.
Fonte: opennet.ru