lançamento do kit de ferramentas (GNU Privacy Guard), compatível com os padrões OpenPGP () e S/MIME, e fornece utilitários para criptografia de dados, trabalhando com assinaturas eletrônicas, gerenciamento de chaves e acesso a armazenamentos de chaves públicas. A nova versão corrige uma vulnerabilidade crítica (), que aparece a partir da versão 2.2.21 e é explorado ao importar uma chave OpenPGP especialmente projetada.
Importar uma chave com uma grande lista especialmente projetada de algoritmos AEAD pode levar ao estouro e travamento da matriz ou a um comportamento indefinido. Observa-se que criar uma exploração que leve não apenas ao travamento é uma tarefa difícil, mas tal possibilidade não pode ser descartada. A principal dificuldade no desenvolvimento de um exploit se deve ao fato de que o invasor só pode controlar cada segundo byte da sequência, sendo que o primeiro byte sempre assume o valor 0x04. Os sistemas de distribuição de software com verificação de chave digital são seguros porque utilizam uma lista predefinida de chaves.
Fonte: opennet.ru