ツールキットのリリース (GNU Privacy Guard)、OpenPGP 標準と互換性があります () と S/MIME をサポートしており、データ暗号化、電子署名、キー管理、公開キー ストアへのアクセスを操作するためのユーティリティを提供します。 新しいバージョンでは重大な脆弱性が修正されています ()、これはバージョン 2.2.21 から登場し、特別に設計された OpenPGP キーをインポートするときに悪用されます。
特別に設計された AEAD アルゴリズムの大規模なリストを含むキーをインポートすると、配列のオーバーフローやクラッシュ、または未定義の動作が発生する可能性があります。 クラッシュだけでなくエクスプロイトを作成することは困難な作業ですが、そのような可能性は排除できないことに注意してください。 エクスプロイトの開発における主な困難は、攻撃者がシーケンスの 0 バイトごとしか制御できず、最初のバイトが常に値 04xXNUMX を取るという事実によるものです。 デジタル キー検証を備えたソフトウェア配布システムは、事前定義されたキーのリストを使用するため安全です。
出所: オープンネット.ru