OpenPGP.js පුස්තකාලයේ අවදානමක් (CVE-2025-47934) හඳුනාගෙන ඇති අතර, එමඟින් ප්රහාරකයාට වෙනස් කරන ලද පණිවිඩයක් යැවීමට ඉඩ සලසයි, එය ලබන්නා විසින් සත්යාපනය කර ඇති බව වටහා ගනු ඇත (openpgp.verify සහ openpgp.decrypt ශ්රිත මඟින් ඩිජිටල් අත්සන සාර්ථක ලෙස සත්යාපනය කර ඇති බවට ඇඟවීමක් ලබා දෙනු ඇත, අන්තර්ගතය ප්රතිස්ථාපනය කර ඇති අතර අත්සන නිර්මාණය කරන ලද දත්ත වලින් වෙනස් වුවද). OpenPGP.js 5.11.3 සහ 6.1.1 නිකුතු වල අවදානම නිවැරදි කරන ලදී. මෙම ගැටළුව OpenPGP.js 5.x සහ 6.x ශාඛා වලට පමණක් බලපාන අතර, OpenPGP.js 4.x වලට බලපාන්නේ නැත.
OpenPGP.js පුස්තකාලය මඟින් OpenPGP ප්රොටෝකෝලයේ ස්වයං අන්තර්ගත JavaScript ක්රියාත්මක කිරීමක් සපයන අතර, එමඟින් ඔබට සංකේතාංකන මෙහෙයුම් සිදු කිරීමට සහ බ්රවුසරයේ පොදු යතුරු මත පදනම් වූ ඩිජිටල් අත්සන් සමඟ වැඩ කිරීමට ඉඩ සලසයි. මෙම ව්යාපෘතිය Proton Mail සංවර්ධකයින් විසින් සංවර්ධනය කරනු ලබන අතර, Proton Mail හි පණිවිඩවල අන්තයේ සිට අගට සංකේතනය සංවිධානය කිරීමට අමතරව, FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere සහ Passbolt වැනි ව්යාපෘතිවල භාවිතා වේ.
මෙම අවදානම එම්බෙඩඩ් පෙළ අත්සන් (openpgp.verify) සහ අත්සන් කළ සහ සංකේතනය කළ පණිවිඩ (penpgp.decrypt) සඳහා සත්යාපන ක්රියා පටිපාටිවලට බලපායි. ප්රහාරකයෙකුට පවතින අත්සන් කළ පණිවිඩ භාවිතා කර නව පණිවිඩ සෑදිය හැක, ඒවා OpenPGP.js හි අවදානමට ලක්විය හැකි අනුවාදයක් මඟින් ඇසුරුම් ඉවත් කළ විට, මුල් අත්සන් කළ පණිවිඩයේ අන්තර්ගතයට වඩා වෙනස් ආදේශක අන්තර්ගතයන් උපුටා ගනු ඇත. පෙළෙන් වෙන්ව බෙදා හරින ලද අත්සන් වලට අවදානම බලපාන්නේ නැත (ගැටලුව දිස්වන්නේ අත්සන තනි දත්ත බ්ලොක් එකක් ලෙස පෙළ සමඟ සම්ප්රේෂණය කළ විට පමණි).
ව්යාජ පණිවිඩයක් නිර්මාණය කිරීම සඳහා, ප්රහාරකයෙකුට අවශ්ය වන්නේ එම්බෙඩඩ් හෝ වෙනම අත්සනක් සහිත එක් පණිවිඩයක් පමණක් වන අතර, මෙම පණිවිඩයේ අත්සන් කර ඇති මුල් දත්ත පිළිබඳ දැනුමක් තිබිය යුතුය. ප්රහාරකයෙකුට පණිවිඩය වෙනස් කළ හැකි අතර එමඟින් අත්සනෙහි වෙනස් කළ අනුවාදය තවමත් නිවැරදි යැයි සැලකේ. ඒ හා සමානව, අත්සනක් සහිත සංකේතනය කළ පණිවිඩ වෙනස් කළ හැකි අතර එමඟින් ප්රහාරකයා විසින් එකතු කරන ලද දත්ත ඉවත් කළ විට ආපසු ලබා දෙනු ඇත.
මූලාශ්රය: opennet.ru
