အားနည်းချက်တစ်ခု (CVE-2025-47934) ကို OpenPGP.js ဒစ်ဂျစ်တိုက်တွင် ဖော်ထုတ်ခဲ့ပြီး၊ တိုက်ခိုက်သူသည် စိစစ်ပြီးဖြစ်ကြောင်း လက်ခံသူမှ ထင်မြင်လက်ခံမည့် မွမ်းမံထားသော မက်ဆေ့ဂျ်တစ်စောင် ပေးပို့ခွင့်ပြုသည် (openpgp.verify နှင့် openpgp.decrypt လုပ်ဆောင်ချက်များသည် အချက်အလက်အတွက် အစားထိုးထားသော လက်မှတ်နှင့် ဒေတာကို အစားထိုးထားသည့် အချက်အလက်အတွက် အောင်မြင်သော ညွှန်ပြထားသည့် ဒစ်ဂျစ်တယ်လက်မှတ်ကို ညွှန်ပြနေသော်လည်း၊ ဖန်တီးခဲ့သည်။) အားနည်းချက်ကို OpenPGP.js 5.11.3 နှင့် 6.1.1 ထုတ်ဝေမှုများတွင် ပြင်ဆင်ထားသည်။ ပြဿနာသည် OpenPGP.js 5.x နှင့် 6.x အကိုင်းအခက်များကိုသာ သက်ရောက်မှုရှိပြီး OpenPGP.js 4.x ကို သက်ရောက်မှုမရှိပါ။
OpenPGP.js စာကြည့်တိုက်သည် OpenPGP ပရိုတိုကော၏ ကိုယ်တိုင်ပါရှိသော JavaScript အကောင်အထည်ဖော်မှုကို ပံ့ပိုးပေးကာ၊ သင်သည် ကုဒ်ဝှက်ခြင်းဆိုင်ရာ လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန်နှင့် ဘရောက်ဆာရှိ အများသူငှာသော့အခြေခံ ဒစ်ဂျစ်တယ် လက်မှတ်များဖြင့် လုပ်ဆောင်နိုင်စေမည်ဖြစ်သည်။ ပရောဂျက်ကို Proton Mail developer များမှ ဖန်တီးထားပြီး Proton Mail ရှိ မက်ဆေ့ချ်များ၏ အဆုံးမှ အဆုံးအထိ ကုဒ်ဝှက်ခြင်းအား စီစဉ်ခြင်းအပြင် FlowCrypt၊ Mymail-Crypt၊ UDC၊ Encrypt.to၊ PGP Anywhere နှင့် Passbolt ကဲ့သို့သော ပရောဂျက်များတွင် အသုံးပြုပါသည်။
အားနည်းချက်သည် ထည့်သွင်းထားသော စာသားလက်မှတ်များ (openpgp.verify) နှင့် ရေးထိုးထားသော ကုဒ်ဝှက်ထားသော စာတိုများ (penpgp.decrypt) အတွက် အတည်ပြုခြင်းလုပ်ငန်းစဉ်များအပေါ် သက်ရောက်မှုရှိပါသည်။ တိုက်ခိုက်သူတစ်ဦးသည် OpenPGP.js ၏ အားနည်းချက်ရှိသော ဗားရှင်းဖြင့် ထုပ်ပိုးလိုက်သောအခါ မူရင်းလက်မှတ်ထိုးထားသော မက်ဆေ့ချ်၏ အကြောင်းအရာနှင့် မတူသည့် အစားထိုးထားသော အကြောင်းအရာကို ထုတ်ယူမည့် မက်ဆေ့ခ်ျအသစ်များ ဖွဲ့စည်းရန် တိုက်ခိုက်သူသည် ရှိပြီးသား စာတိုများကို အသုံးပြုနိုင်သည်။ အားနည်းချက်သည် စာသားမှ သီးခြားခွဲဝေထားသော လက်မှတ်များကို မထိခိုက်စေပါ (လက်မှတ်ကို ဒေတာဘလောက်တစ်ခုတည်းအဖြစ် စာသားနှင့်အတူ ပေးပို့သည့်အခါမှသာ ပြဿနာပေါ်လာသည်)။
မက်ဆေ့ဂျ်အတုဖန်တီးရန်၊ တိုက်ခိုက်သူသည် မြှုပ်သွင်းထားသည့် သို့မဟုတ် သီးခြားလက်မှတ်ပါသည့် မက်ဆေ့ချ်တစ်ခုသာရှိရန် လိုအပ်သည့်အပြင် ဤမက်ဆေ့ချ်တွင် လက်မှတ်ထိုးထားသည့် မူရင်းဒေတာကို သိရှိရန် လိုအပ်သည်။ တိုက်ခိုက်သူသည် လက်မှတ်၏မွမ်းမံထားသောဗားရှင်းကို မှန်ကန်သည်ဟု ယူဆနိုင်စေရန် မက်ဆေ့ဂျ်ကို မွမ်းမံပြင်ဆင်နိုင်သည်။ အလားတူပင်၊ ထုပ်ပိုးထားသော အချိန်တွင်၊ တိုက်ခိုက်သူမှ ထည့်ထားသော ဒေတာများကို ပြန်လည်ရရှိစေရန် လက်မှတ်ပါသော ကုဒ်နံပါတ်ပါသော စာများကို ပြုပြင်နိုင်သည်။
source: opennet.ru
