CYBER NEWS

CVE-2018-12.020: SigSpoof PGP Bug giver hackere spoof signaturer

SigSpoof PGP bug billede

Den SigSpoof PGP Bug er blevet opdaget at være et årti gammel trussel, der giver hackere spoof enhver brugers signaturer og identitet. Dette er en sjælden tilfælde, hvor et sikkerhedsproblem har været tilgængelig i mange år, og den sårbarhed blev opdaget lige nu. PGP er en af ​​de mest udbredte kryptering værktøjer, primært brugt i e-mail-kommunikation.

relaterede Story: Ticketfly bruddet: 26,151,608 Kundernes Emails Udsat

CVE-2018-12.020: Virkningen af ​​SigSpoof PGP Bug

PGP er den mest kendte metode til at levere sikker kommunikation ved hjælp af den offentlige-private nøgle metode. Det ser dog ud, at et årti gammel sårbarhed var indeholdt i dens kerne, som netop blev opdaget. Når sikkerheden samfund annoncerede SigSpoof PGP bug stort set alle større softwareprogrammer og tjenester blev hurtigt opdateret.

Den angivne Security Advisory CVE-2018-12.020 viser, at GnuPG pakken (som er grundlaget for alle større implementeringer) mishandles de oprindelige filnavne under dekryptering og verifikation handlinger. Som en konsekvens fjernangribere kan spoof produktionen af ​​de pågældende operationer. Ifølge en af ​​de eksperter, der opdagede SigSpoof fejl (Marcus Brinkmann) skrev, at conseuqnces kan være ødelæggende. Den GnuPG-koden anvendes i en lang række tjenester, herunder softwareopdateringer i Linux-distributioner (til kontrol af pakker), sikkerhedskopier, kildekode udgivelser og mere.




Ifølge CVE-2018-12.020 rådgivende den SigSpoof PGP bug påvirker kun den software, der har gjort det muligt at verbose mulighed. En sikkerhed praksis er at deaktivere den som standard dog en række online vejledninger har vist sig at anbefale det.

Fejlen virker ved at skjule metadata på en måde, der får nytte programmer til at behandle det som et resultat af et signaturkontrolsystem. Som et resultat viser e-mail-programmer fejlagtigt, at meddelelser blev underskrevet af en identitet valgt af hackere. De nødvendige parametre for at udføre den spoof er kun en offentlig nøgle eller nøgle-ID.

På et beslægtet note to separate lejligheder yderligere bugs forbundet med klientsoftware viser, at hackere kunne have draget fordel af problemet. Den første gang viser, at de kriminelle kan spoof underskrifterne når verbose tilstanden ikke er aktiveret. Den anden identificerede fejl tillader endda udførelse af skadelig kode i tillæg til de spoofing operationer.

Alle brugere, der kører implementeringer af OpenPGP og relateret kode bør tjekke med deres leverandører for at se, om de har lappet sårbarhed.

Avatar

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg - Websted

Følg mig:
TwitterGoogle Plus

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...