toolkit-uitgave (GNU Privacy Guard), compatibel met OpenPGP-standaarden () en S/MIME, en biedt hulpprogramma's voor gegevensversleuteling, het werken met elektronische handtekeningen, sleutelbeheer en toegang tot openbare sleutelopslagplaatsen. De nieuwe versie lost een kritieke kwetsbaarheid op (), dat verschijnt vanaf versie 2.2.21 en wordt uitgebuit bij het importeren van een speciaal ontworpen OpenPGP-sleutel.
Het importeren van een sleutel met een speciaal ontworpen grote lijst met AEAD-algoritmen kan leiden tot array-overflow en crashes of ongedefinieerd gedrag. Opgemerkt wordt dat het creΓ«ren van een exploit die niet alleen tot een crash leidt een moeilijke taak is, maar een dergelijke mogelijkheid kan niet worden uitgesloten. De grootste moeilijkheid bij het ontwikkelen van een exploit is te wijten aan het feit dat de aanvaller slechts elke tweede byte van de reeks kan controleren, en dat de eerste byte altijd de waarde 0x04 heeft. Softwaredistributiesystemen met digitale sleutelverificatie zijn veilig omdat ze een vooraf gedefinieerde lijst met sleutels gebruiken.
Bron: opennet.ru