Den SigSpoof PGP Bug er blevet opdaget at være et årti gammel trussel, der giver hackere spoof enhver brugers signaturer og identitet. Dette er en sjælden tilfælde, hvor et sikkerhedsproblem har været tilgængelig i mange år, og den sårbarhed blev opdaget lige nu. PGP er en af de mest udbredte kryptering værktøjer, primært brugt i e-mail-kommunikation.
CVE-2018-12.020: Virkningen af SigSpoof PGP Bug
PGP er den mest kendte metode til at levere sikker kommunikation ved hjælp af den offentlige-private nøgle metode. Det ser dog ud, at et årti gammel sårbarhed var indeholdt i dens kerne, som netop blev opdaget. Når sikkerheden samfund annoncerede SigSpoof PGP bug stort set alle større softwareprogrammer og tjenester blev hurtigt opdateret.
Den angivne Security Advisory CVE-2018-12.020 viser, at GnuPG pakken (som er grundlaget for alle større implementeringer) mishandles de oprindelige filnavne under dekryptering og verifikation handlinger. Som en konsekvens fjernangribere kan spoof produktionen af de pågældende operationer. Ifølge en af de eksperter, der opdagede SigSpoof fejl (Marcus Brinkmann) skrev, at conseuqnces kan være ødelæggende. Den GnuPG-koden anvendes i en lang række tjenester, herunder softwareopdateringer i Linux-distributioner (til kontrol af pakker), sikkerhedskopier, kildekode udgivelser og mere.
Ifølge CVE-2018-12.020 rådgivende den SigSpoof PGP bug påvirker kun den software, der har gjort det muligt at verbose mulighed. En sikkerhed praksis er at deaktivere den som standard dog en række online vejledninger har vist sig at anbefale det.
Fejlen virker ved at skjule metadata på en måde, der får nytte programmer til at behandle det som et resultat af et signaturkontrolsystem. Som et resultat viser e-mail-programmer fejlagtigt, at meddelelser blev underskrevet af en identitet valgt af hackere. De nødvendige parametre for at udføre den spoof er kun en offentlig nøgle eller nøgle-ID.
På et beslægtet note to separate lejligheder yderligere bugs forbundet med klientsoftware viser, at hackere kunne have draget fordel af problemet. Den første gang viser, at de kriminelle kan spoof underskrifterne når verbose tilstanden ikke er aktiveret. Den anden identificerede fejl tillader endda udførelse af skadelig kode i tillæg til de spoofing operationer.
Alle brugere, der kører implementeringer af OpenPGP og relateret kode bør tjekke med deres leverandører for at se, om de har lappet sårbarhed.