O se faʻafitauli (CVE-2025-47934) ua faʻaalia i totonu o le OpenPGP.js faletusi, faʻatagaina se tagata osofaʻi e lafo se feʻau faʻaleleia o le a iloa e le tagata e mauaina e pei ona faʻamaonia (o le openpgp.verify ma openpgp.decrypt galuega o le a toe faʻaalia se faʻamaoniga manuia o le saini numera, e ui lava o le mea moni na suia le saini mo le saini). O le faʻafitauli na faʻamautu i OpenPGP.js 5.11.3 ma 6.1.1 faʻasalalauga. O le mataupu e aafia ai na'o lala OpenPGP.js 5.x ma 6.x, ma e le afaina ai OpenPGP.js 4.x.
O le OpenPGP.js faletusi e maua ai le fa'atinoina o le JavaScript o le OpenPGP protocol, e mafai ai ona e faia fa'amatalaga fa'ailoga ma galulue fa'atasi ma saini fa'afuainumera e fa'atatau i tagata lautele i le su'esu'ega. O le poloketi o loʻo atiaʻe e le au atinaʻe o le Proton Mail ma, faʻaopoopo i le faʻatulagaina o faʻamaufaʻailoga pito i tua o feʻau i le Proton Mail, o loʻo faʻaaogaina i poloketi e pei o FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere ma Passbolt.
O le fa'aletonu e a'afia ai faiga fa'amaonia mo saini tusitusiga fa'apipi'i (openpgp.verify) ma fe'au saini ma fa'ailoga (penpgp.decrypt). E mafai e le tagata osofa'i ona fa'aoga fe'au saini o lo'o iai e fai ai ni fe'au fou, pe a tatalaina e se fa'afitauli vaivai o OpenPGP.js, o le a maua mai ai mea e suitulaga e ese mai le anotusi o le ulua'i fe'au sainia. O le faʻafitauli e le afaina ai saini e tufatufaina ese mai le tusitusiga (o le faʻafitauli e naʻo le faʻaalia pe a tuʻuina atu le saini faʻatasi ma le tusitusiga o se poloka faʻamaumauga e tasi).
Ina ia faia se fe'au pepelo, e na'o le tasi lava le fe'au e mana'omia e le tagata osofa'i ma se saini fa'apipi'i pe tu'uese'ese, fa'apea fo'i ma le malamalama i fa'amaumauga muamua na sainia i lenei fe'au. E mafai e se tagata osofa'i ona suia le fe'au ina ia sa'o pea le saini mo le suiga ua suia. E fa'apena fo'i, o fe'au fa'ailoga fa'atasi ma se saini e mafai ona toe fa'aleleia ina ia fa'afo'i mai fa'amatalaga fa'aopoopo a le tagata osofa'i pe a tatala.
puna: opennet.ru
