OpenPGP.js bibliotÄkÄ ir identificÄta ievainojamÄ«ba (CVE-2025-47934), kas ļauj uzbrucÄjam nosÅ«tÄ«t modificÄtu ziÅojumu, ko saÅÄmÄjs uztvers kÄ pÄrbaudÄ«tu (funkcijas openpgp.verify un openpgp.decrypt atgriezÄ«s norÄdi par veiksmÄ«gu digitÄlÄ paraksta pÄrbaudi, neskatoties uz to, ka saturs ir aizstÄts un atŔķiras no datiem, kuriem paraksts tika izveidots). IevainojamÄ«ba tika novÄrsta OpenPGP.js 5.11.3 un 6.1.1 laidienos. ProblÄma ietekmÄ tikai OpenPGP.js 5.x un 6.x atzarus un neietekmÄ OpenPGP.js 4.x.
OpenPGP.js bibliotÄka nodroÅ”ina patstÄvÄ«gu OpenPGP protokola JavaScript ievieÅ”anu, kas ļauj veikt Å”ifrÄÅ”anas darbÄ«bas un strÄdÄt ar publiskÄs atslÄgas digitÄlajiem parakstiem pÄrlÅ«kprogrammÄ. Projektu izstrÄdÄ Proton Mail izstrÄdÄtÄji, un papildus ziÅojumu pilnÄ«gas Å”ifrÄÅ”anas organizÄÅ”anai Proton Mail tas tiek izmantots tÄdos projektos kÄ FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere un Passbolt.
IevainojamÄ«ba ietekmÄ iegulto teksta parakstu (openpgp.verify) un parakstÄ«to un Å”ifrÄto ziÅojumu (penpgp.decrypt) verifikÄcijas procedÅ«ras. UzbrucÄjs var izmantot esoÅ”os parakstÄ«tos ziÅojumus, lai veidotu jaunus ziÅojumus, kurus, atpakojot ar neaizsargÄtu OpenPGP.js versiju, tiks iegÅ«ts aizstÄts saturs, kas atŔķiras no sÄkotnÄji parakstÄ«tÄ ziÅojuma satura. IevainojamÄ«ba neietekmÄ parakstus, kas tiek izplatÄ«ti atseviŔķi no teksta (problÄma rodas tikai tad, ja paraksts tiek pÄrsÅ«tÄ«ts kopÄ ar tekstu kÄ viens datu bloks).
Lai izveidotu viltotu ziÅojumu, uzbrucÄjam ir nepiecieÅ”ams tikai viens ziÅojums ar iegultu vai atseviŔķu parakstu, kÄ arÄ« zinÄÅ”anas par Å”ajÄ ziÅojumÄ parakstÄ«tajiem sÄkotnÄjiem datiem. UzbrucÄjs var modificÄt ziÅojumu tÄ, lai modificÄtÄ paraksta versija joprojÄm tiktu uzskatÄ«ta par pareizu. LÄ«dzÄ«gi, Å”ifrÄtus ziÅojumus ar parakstu var modificÄt tÄ, lai, tos atpakojot, tiktu atgriezti uzbrucÄja pievienotie dati.
Avots: opennet.ru
