ProHoster > Блог > இணைய செய்தி > செய்தி சரிபார்ப்பைத் தவிர்ப்பதற்கு அனுமதிக்கும் OpenPGP.js நூலகத்தில் உள்ள பாதிப்பு

செய்தி சரிபார்ப்பைத் தவிர்ப்பதற்கு அனுமதிக்கும் OpenPGP.js நூலகத்தில் உள்ள பாதிப்பு

OpenPGP.js நூலகத்தில் ஒரு பாதிப்பு (CVE-2025-47934) அடையாளம் காணப்பட்டுள்ளது, இது தாக்குபவர் மாற்றியமைக்கப்பட்ட செய்தியை அனுப்ப அனுமதிக்கிறது, இது பெறுநரால் சரிபார்க்கப்பட்டதாக உணரப்படும் (openpgp.verify மற்றும் openpgp.decrypt செயல்பாடுகள் டிஜிட்டல் கையொப்பத்தின் வெற்றிகரமான சரிபார்ப்பின் அறிகுறியை வழங்கும், உள்ளடக்கம் மாற்றப்பட்டு கையொப்பம் உருவாக்கப்பட்ட தரவிலிருந்து வேறுபட்டிருந்தாலும்). இந்தப் பாதிப்பு OpenPGP.js 5.11.3 மற்றும் 6.1.1 வெளியீடுகளில் சரி செய்யப்பட்டது. இந்தச் சிக்கல் OpenPGP.js 5.x மற்றும் 6.x கிளைகளை மட்டுமே பாதிக்கிறது, மேலும் OpenPGP.js 4.x ஐப் பாதிக்காது.

OpenPGP.js நூலகம், OpenPGP நெறிமுறையின் தன்னிறைவான ஜாவாஸ்கிரிப்ட் செயல்படுத்தலை வழங்குகிறது, இது உலாவியில் குறியாக்க செயல்பாடுகளைச் செய்யவும் பொது விசை அடிப்படையிலான டிஜிட்டல் கையொப்பங்களுடன் வேலை செய்யவும் உங்களை அனுமதிக்கிறது. இந்த திட்டம் புரோட்டான் மெயில் டெவலப்பர்களால் உருவாக்கப்பட்டு வருகிறது, மேலும் புரோட்டான் மெயிலில் செய்திகளின் முழுமையான குறியாக்கத்தை ஒழுங்கமைப்பதோடு மட்டுமல்லாமல், ஃப்ளோகிரிப்ட், மைமெயில்-கிரிப்ட், யுடிசி, என்க்ரிப்ட்.டோ, பிஜிபி எனிவேர் மற்றும் பாஸ்போல்ட் போன்ற திட்டங்களிலும் பயன்படுத்தப்படுகிறது.

இந்தப் பாதிப்பு, உட்பொதிக்கப்பட்ட உரை கையொப்பங்கள் (openpgp.verify) மற்றும் கையொப்பமிடப்பட்ட மற்றும் மறைகுறியாக்கப்பட்ட செய்திகள் (penpgp.decrypt) ஆகியவற்றுக்கான சரிபார்ப்பு நடைமுறைகளைப் பாதிக்கிறது. தாக்குபவர் ஏற்கனவே உள்ள கையொப்பமிடப்பட்ட செய்திகளைப் பயன்படுத்தி புதிய செய்திகளை உருவாக்கலாம், அவை OpenPGP.js இன் பாதிக்கப்படக்கூடிய பதிப்பால் திறக்கப்படும்போது, ​​அசல் கையொப்பமிடப்பட்ட செய்தியின் உள்ளடக்கத்திலிருந்து வேறுபட்ட மாற்று உள்ளடக்கத்தைப் பிரித்தெடுக்கும். உரையிலிருந்து தனித்தனியாக விநியோகிக்கப்படும் கையொப்பங்களைப் பாதிப்பு பாதிக்காது (கையொப்பம் உரையுடன் ஒற்றை தரவுத் தொகுதியாக அனுப்பப்படும்போது மட்டுமே சிக்கல் தோன்றும்).

ஒரு போலி செய்தியை உருவாக்க, தாக்குபவர் உட்பொதிக்கப்பட்ட அல்லது தனி கையொப்பத்துடன் ஒரு செய்தியை மட்டுமே கொண்டிருக்க வேண்டும், அதே போல் இந்த செய்தியில் கையொப்பமிடப்பட்ட அசல் தரவு பற்றிய அறிவும் இருக்க வேண்டும். கையொப்பத்தின் மாற்றியமைக்கப்பட்ட பதிப்பு இன்னும் சரியானதாகக் கருதப்படும் வகையில் தாக்குபவர் செய்தியை மாற்றியமைக்க முடியும். இதேபோல், கையொப்பத்துடன் மறைகுறியாக்கப்பட்ட செய்திகளை மாற்றியமைக்க முடியும், இதனால் அவற்றைத் திறக்கும்போது, ​​தாக்குபவர் சேர்த்த தரவு திரும்பப் பெறப்படும்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்