Eng Schwachstelle (CVE-2025-47934) gouf an der OpenPGP.js Bibliothéik identifizéiert, déi et engem Ugräifer erlaabt, eng modifizéiert Noriicht ze schécken, déi vum Empfänger als verifizéiert ugesi gëtt (d'Funktiounen openpgp.verify an openpgp.decrypt ginn eng Indikatioun vun enger erfollegräicher Verifizéierung vun der digitaler Ënnerschrëft zréck, obwuel den Inhalt ersat gouf an sech vun den Donnéeën ënnerscheet, fir déi d'Ënnerschrëft erstallt gouf). D'Schwachstelle gouf an den OpenPGP.js 5.11.3 an 6.1.1 Versioune behoben. Dëse Problem betrëfft nëmmen d'OpenPGP.js 5.x an 6.x Branchen, an net OpenPGP.js 4.x.
D'OpenPGP.js Bibliothéik bitt eng autonom JavaScript-Implementatioun vum OpenPGP-Protokoll, déi et Iech erlaabt, Verschlësselungsoperatiounen duerchzeféieren a mat digitalen Signaturen op Basis vun ëffentleche Schlësselen am Browser ze schaffen. De Projet gëtt vun den Entwéckler vu Proton Mail entwéckelt a gëtt, nieft der Organisatioun vun der End-to-End-Verschlësselung vu Messagen a Proton Mail, a Projeten ewéi FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere a Passbolt benotzt.
D'Schwachstelle betrëfft d'Verifizéierungsprozedure fir agebette Textsignaturen (openpgp.verify) a fir ënnerschriwwen a verschlësselte Messagen (penpgp.decrypt). En Ugräifer kann existent ënnerschriwwen Messagen benotze fir nei Messagen ze bilden, déi, wann se vun enger vulnérabeler Versioun vun OpenPGP.js ausgepackt ginn, ersatzen Inhalt extrahéieren, deen sech vum Inhalt vun der ursprénglecher ënnerschriwwener Noriicht ënnerscheet. D'Schwachstelle betrëfft keng Signaturen, déi separat vum Text verdeelt ginn (de Problem trëtt nëmmen op, wann d'Signatur zesumme mam Text als een eenzege Datenblock iwwerdroe gëtt).
Fir eng gefälscht Noriicht ze kreéieren, brauch en Ugräifer nëmmen eng Noriicht mat enger agebetteter oder separater Ënnerschrëft, souwéi Kenntnisser vun den originelle Daten, déi an dëser Noriicht ënnerschriwwe goufen. En Ugräifer kann d'Noriicht änneren, sou datt déi geännert Versioun vun der Ënnerschrëft nach ëmmer als korrekt ugesi gëtt. Ähnlech kënnen verschlësselte Messagen mat enger Ënnerschrëft geännert ginn, sou datt beim Auspacken d'Donnéeën, déi vum Ugräifer bäigefüügt goufen, zréckginn.
Source: opennet.ru
