ಟೂಲ್ಕಿಟ್ ಬಿಡುಗಡೆ (GNU ಗೌಪ್ಯತೆ ಗಾರ್ಡ್), OpenPGP ಮಾನದಂಡಗಳಿಗೆ ಹೊಂದಿಕೊಳ್ಳುತ್ತದೆ () и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена критическая уязвимость (), проявляющаяся начиная с версии 2.2.21 и эксплуатируемая при импорте специально оформленного ключа OpenPGP.
Импорт ключа со специально оформленным большим списком AEAD-алгоритмов может привести к переполнению массива и краху или неопределённому поведению. Отмечается, что создание эксплоита, приводящего не только к краху, является сложной задачей, но такая возможность не исключается. Основная сложность при разработке эксплоита связана с тем, что атакующий может контролировать только каждый второй байт последовательности, а первый байт всегда принимает значение 0x04. Системы распространения ПО с верификацией по цифровым ключам вне опасности, так как в них используется предопределённый список ключей.
ಮೂಲ: opennet.ru