Total Security - totalsecurity.com.br
Falha compromete assinatura digital através de GPG
O software de criptografia GnuPG, muito utilizado para assinatura digital de emails, apresenta uma falha que compromete a confiabilidade de conteúdo por ele assinado.A falha foi descoberta pela equipe de desenvolvimento do GnuPG durante testes feitos após a correção de uma outra falha, que gerava falsos positivos em verificações de assinaturas digitais.
A nova falha permite que dados falsos sejam inseridos em um texto após a verificação da assinatura digital, ou seja, o texto original é verificado, se estiver integro o GnuPG atesta esta integridade, porém após este passo a falha permite que novos dados sejam adicionados no começo ou fim do texto verificado. Desta forma, dados não incluídos na assinatura digital são exibidos ao usuário como se fizessem parte do conteúdo assinado.
A falha atinge apenas assinaturas anexadas diretamente ao texto. Assinaturas digital detached, ou seja, em arquivo separado (Modo normalmente utilizado para assinar documentos, softwares, etc.), não são afetadas. Justamente por esse motivo o maior alvo de possíveis ataques são emails assinados digitalmente, já que este é o modo padrão de uso do gpg para esta função específica.
Informações mais detalhadas podem ser encontradas no site do GnuPG (Inglês)
Solução:
Todas as versões anteriores à versão 1.4.2.2 são afetadas pela nova vulnerabilidade. Não existem pathes para versões mais novas, desta forma, a solução é atualizar o GnuPG para a versão 1.4.2.2.
Para isso, consulte o site da sua distribuição (caso esteja utiliando Linux) ou então baixe a versão mais nova no site de downloads do GnuPG.
A nova falha permite que dados falsos sejam inseridos em um texto após a verificação da assinatura digital, ou seja, o texto original é verificado, se estiver integro o GnuPG atesta esta integridade, porém após este passo a falha permite que novos dados sejam adicionados no começo ou fim do texto verificado. Desta forma, dados não incluídos na assinatura digital são exibidos ao usuário como se fizessem parte do conteúdo assinado.
A falha atinge apenas assinaturas anexadas diretamente ao texto. Assinaturas digital detached, ou seja, em arquivo separado (Modo normalmente utilizado para assinar documentos, softwares, etc.), não são afetadas. Justamente por esse motivo o maior alvo de possíveis ataques são emails assinados digitalmente, já que este é o modo padrão de uso do gpg para esta função específica.
Informações mais detalhadas podem ser encontradas no site do GnuPG (Inglês)
Solução:
Todas as versões anteriores à versão 1.4.2.2 são afetadas pela nova vulnerabilidade. Não existem pathes para versões mais novas, desta forma, a solução é atualizar o GnuPG para a versão 1.4.2.2.
Para isso, consulte o site da sua distribuição (caso esteja utiliando Linux) ou então baixe a versão mais nova no site de downloads do GnuPG.
Fonte:
Eu escrevi
URL Fonte: https://totalsecurity.com.br/noticia/1357/visualizar/
Comentários