El escarabajo de SigSpoof PGP ha descubierto que ser una amenaza década de edad, que permite a los hackers para falsificar firmas y la identidad de cualquier usuario. Este es un caso raro en que un problema de seguridad ha estado disponible desde hace muchos años y la vulnerabilidad fue descubierta hace un momento. PGP es una de las herramientas de cifrado más utilizados, utilizado principalmente en comunicaciones por correo electrónico.
CVE-2018 a 12.020: El impacto de la SigSpoof PGP Bug
PGP es el método más conocido para proporcionar comunicaciones seguras mediante el método de clave pública-privada. Sin embargo, parece que una vulnerabilidad de hace diez años estaba contenido en su núcleo que acaba de ser descubierto. Una vez que la comunidad de seguridad anunció el fallo SigSpoof PGP prácticamente todas las grandes empresas de servicios públicos y servicios de software se actualizan con rapidez.
El aviso de seguridad proporcionado CVE-2018 a 12.020 muestra que el paquete GnuPG (que es la base para todas las principales implementaciones) maneja mal los nombres de archivo originales durante las acciones de descifrado y verificación. Como consecuencia atacantes remotos pueden suplantar la salida de las operaciones pertinentes. De acuerdo con uno de los expertos descubrieron que la falla SigSpoof (Marcus Brinkmann) escribió que la conseuqnces pueden ser devastadores. El código de GnuPG se utiliza en una variedad de servicios, incluyendo actualizaciones de software en distribuciones de Linux (para la verificación de los paquetes), Las copias de seguridad, comunicados de código fuente y más.
Según el aviso CVE-2018-12.020 el error SigSpoof PGP afecta sólo el software que han permitido a la opción detallada. Una práctica de seguridad es desactivar por defecto sin embargo una serie de guías en línea se ha encontrado que recomiendo.
Las obras de errores al ocultar los metadatos de una manera que hace que las aplicaciones de utilidad para tratarla como resultado de una verificación de la firma. Como resultado, las aplicaciones de correo electrónico falsamente muestran que los mensajes fueron firmados por una identidad elegida por los piratas informáticos. Los parámetros necesarios para ejecutar la parodia son sólo una clave pública o la clave de identificación.
En una nota relacionada en dos ocasiones separadas errores adicionales asociados con el software de cliente muestra que los hackers podrían haber aprovechado el tema. La primera ocasión demuestra que los delincuentes pueden falsificar las firmas cuando el modo detallado no está habilitado. El otro error identificado incluso permite la ejecución de código malicioso, además de las operaciones de suplantación de identidad.
Todos los usuarios que ejecutan implementaciones de OpenPGP y código relacionado deben consultar con sus proveedores para ver si han parcheado la vulnerabilidad.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: