Egy sebezhetőséget (CVE-2025-47934) azonosítottak az OpenPGP.js könyvtárban, amely lehetővé teszi a támadó számára, hogy módosított üzenetet küldjön, amelyet a címzett ellenőrzöttnek érzékel (az openpgp.verify és openpgp.decrypt függvények a digitális aláírás sikeres ellenőrzéséről szóló jelzést adnak vissza, annak ellenére, hogy a tartalom lecserélődött és eltér az aláírás alapjául szolgáló adatoktól). A sebezhetőséget az OpenPGP.js 5.11.3 és 6.1.1 kiadásaiban javították. A probléma csak az OpenPGP.js 5.x és 6.x ágait érinti, az OpenPGP.js 4.x-et nem.
Az OpenPGP.js könyvtár az OpenPGP protokoll önálló JavaScript implementációját biztosítja, amely lehetővé teszi titkosítási műveletek végrehajtását és nyilvános kulcson alapuló digitális aláírásokkal való munkát a böngészőben. A projektet a Proton Mail fejlesztői fejlesztik, és a Proton Mailben az üzenetek végponttól végpontig történő titkosításának megszervezése mellett olyan projektekben is használják, mint a FlowCrypt, a Mymail-Crypt, az UDC, az Encrypt.to, a PGP Anywhere és a Passbolt.
A sebezhetőség a beágyazott szöveges aláírások (openpgp.verify) és az aláírt, valamint titkosított üzenetek (penpgp.decrypt) ellenőrzési eljárásait érinti. Egy támadó felhasználhatja a meglévő aláírt üzeneteket új üzenetek létrehozására, amelyek az OpenPGP.js egy sebezhető verziójával történő kicsomagoláskor az eredetileg aláírt üzenet tartalmától eltérő helyettesítő tartalmat kinyernek. A sebezhetőség nem érinti a szövegtől külön terjesztett aláírásokat (a probléma csak akkor jelentkezik, ha az aláírást a szöveggel együtt, egyetlen adatblokkként továbbítják).
Egy hamis üzenet létrehozásához a támadónak csak egyetlen beágyazott vagy külön aláírással ellátott üzenettel kell rendelkeznie, valamint ismernie kell az üzenetben aláírt eredeti adatokat. Egy támadó módosíthatja az üzenetet úgy, hogy az aláírás továbbra is helyesnek minősüljön a módosított verzióban. Hasonlóképpen, az aláírással ellátott titkosított üzenetek módosíthatók úgy, hogy kicsomagoláskor a támadó által hozzáadott adatok kerüljenek visszaadásra.
Forrás: opennet.ru
