OpenPGP.js kutubxonasida zaiflik (CVE-2025-47934) aniqlandi, bu tajovuzkorga qabul qiluvchi tomonidan tasdiqlangan deb qabul qilinadigan o'zgartirilgan xabarni yuborish imkonini beradi (openpgp.verify va openpgp.decrypt funktsiyalari raqamli imzo muvaffaqiyatli tekshirilganligi belgisini qaytaradi, ammo ma'lumotlar o'zgartirilganiga qaramay. imzo yaratildi). Zaiflik OpenPGP.js 5.11.3 va 6.1.1 versiyalarida tuzatildi. Muammo faqat OpenPGP.js 5.x va 6.x filiallariga taʼsir qiladi va OpenPGP.js 4.xʼga taʼsir qilmaydi.
OpenPGP.js kutubxonasi OpenPGP protokolining mustaqil JavaScript ilovasini taqdim etadi, bu sizga shifrlash operatsiyalarini bajarish va brauzerda ochiq kalitga asoslangan raqamli imzolar bilan ishlash imkonini beradi. Loyiha Proton Mail dasturchilari tomonidan ishlab chiqilmoqda va Proton Mail-da xabarlarni oxirigacha shifrlashni tashkil qilishdan tashqari, FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere va Passbolt kabi loyihalarda qo'llaniladi.
Zaiflik o‘rnatilgan matn imzolari (openpgp.verify) va imzolangan va shifrlangan xabarlarni (penpgp.decrypt) tekshirish tartiblariga ta’sir qiladi. Buzg'unchi mavjud imzolangan xabarlardan yangi xabarlar yaratish uchun foydalanishi mumkin, ular OpenPGP.js ning zaif versiyasi tomonidan ochilganda, imzolangan asl xabar mazmunidan farq qiladigan almashtirilgan tarkibni ajratib oladi. Zaiflik matndan alohida tarqatilgan imzolarga ta'sir qilmaydi (muammo faqat imzo matn bilan birga bitta ma'lumot bloki sifatida uzatilganda paydo bo'ladi).
Soxta xabar yaratish uchun tajovuzkor faqat o'rnatilgan yoki alohida imzoga ega bo'lgan bitta xabarga, shuningdek, ushbu xabarda imzolangan asl ma'lumotlarga ega bo'lishi kerak. Buzg'unchi xabarni imzoning o'zgartirilgan versiyasi hali ham to'g'ri deb hisoblanishi uchun o'zgartirishi mumkin. Xuddi shunday, imzo bilan shifrlangan xabarlar o'zgartirilishi mumkin, shunda paketdan chiqarilganda tajovuzkor tomonidan qo'shilgan ma'lumotlar qaytariladi.
Manba: opennet.ru
