Yo idantifye yon vilnerabilite (CVE-2025-47934) nan bibliyotèk OpenPGP.js la, sa ki pèmèt yon atakè voye yon mesaj modifye ke moun k ap resevwa mesaj la pral wè kòm verifye (fonksyon openpgp.verify ak openpgp.decrypt yo ap retounen yon endikasyon ke siyati dijital la te verifye avèk siksè, malgre lefèt ke kontni an te ranplase epi li diferan de done yo te kreye pou siyati a). Yo te korije vilnerabilite a nan vèsyon OpenPGP.js 5.11.3 ak 6.1.1 yo. Pwoblèm nan sèlman afekte branch OpenPGP.js 5.x ak 6.x yo, epi li pa afekte OpenPGP.js 4.x.
Bibliyotèk OpenPGP.js la bay yon aplikasyon JavaScript endepandan pou pwotokòl OpenPGP a, ki pèmèt ou fè operasyon chifreman epi travay avèk siyati dijital ki baze sou kle piblik nan navigatè a. Pwojè a ap devlope pa devlopè Proton Mail yo e, anplis òganizasyon chifreman bout-a-bout mesaj nan Proton Mail, li itilize nan pwojè tankou FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere ak Passbolt.
Vilnerabilite a afekte pwosedi verifikasyon pou siyati tèks entegre (openpgp.verify) ak mesaj siyen ak chiffres (penpgp.decrypt). Yon atakè ka itilize mesaj ki deja siyen pou fòme nouvo mesaj. Lè yon vèsyon OpenPGP.js ki vilnerab dekonprese yo, yo pral ekstrè kontni sibstitisyon ki diferan de kontni mesaj orijinal ki te siyen an. Vilnerabilite a pa afekte siyati ki distribye separeman ak tèks la (pwoblèm nan parèt sèlman lè siyati a transmèt ansanm ak tèks la kòm yon sèl blòk done).
Pou kreye yon fo mesaj, yon atakè sèlman bezwen gen yon sèl mesaj ak yon siyati entegre oswa separe, ansanm ak konesans sou done orijinal ki siyen nan mesaj sa a. Yon atakè ka modifye mesaj la pou vèsyon modifye siyati a toujou konsidere kòm kòrèk. Menm jan an tou, mesaj chiffres ki gen yon siyati ka modifye pou lè yo dekonprese, done atakè a te ajoute yo ap retounen.
Sous: opennet.ru
