Le Bug PGP SigSpoof a été découvert comme une menace vieille de dix ans qui permet aux pirates d'usurper les signatures et l'identité de tout utilisateur. Ceci est un cas rare où un problème de sécurité est disponible depuis de nombreuses années et la vulnérabilité a été découverte tout à l'heure. PGP est l'un des outils de chiffrement les plus utilisés, principalement utilisé dans les communications par courriel.
CVE-2018-12020: L'impact de SigSpoof PGP Bug
PGP est la méthode la plus connue pour fournir des communications sécurisées en utilisant la méthode clé publique-privée. Cependant, il semble qu'une vulnérabilité vieille de dix ans était contenue dans son noyau qui vient d'être découvert. Une fois que la communauté de sécurité a annoncé le bug PGP SigSpoof pratiquement tous les utilitaires logiciels et de services importants ont été rapidement mis à jour.
L'avis de sécurité fourni CVE-2018-12020 indique que le paquet GnuPG (qui est la base pour toutes les implémentations majeures) malmène les noms de fichiers d'origine au cours des actions de décryptage et de vérification. En conséquence des attaquants distants peuvent usurper la sortie des opérations concernées. Selon un des experts qui a découvert la faille SigSpoof (Marcus Brinkmann) a écrit que le conseuqnces peuvent être dévastateurs. Le code GnuPG est utilisé dans une variété de services, y compris les mises à jour logicielles dans les distributions Linux (pour la vérification des paquets), sauvegardes, le code source de presse et plus.
Selon l'avis CVE-2018-12020 le bug PGP SigSpoof affecte uniquement le logiciel qui ont activé l'option verbeuse. Une pratique de sécurité est de le désactiver par défaut mais un certain nombre de guides en ligne ont été trouvés à recommander.
Les travaux de bogues en se cachant les métadonnées d'une manière qui provoque les applications utilitaires pour le traiter à la suite d'une vérification de signature. Par conséquent, les applications de courrier électronique montrent à tort que les messages ont été signés par une identité choisie par les pirates. Les paramètres requis pour exécuter le spoof ne sont une clé publique ou l'ID de clé.
Sur une note liée à deux reprises des bugs supplémentaires associés au logiciel client montre que les pirates auraient pu profité de la question. La première fois montre que les criminels peuvent usurper les signatures lorsque le mode verbose est pas activé. L'autre bug a été identifié permet même l'exécution de code malveillant en plus des opérations de mystification.
Tous les utilisateurs qui exécutent des implémentations de OpenPGP et le code connexes devraient vérifier auprès de leurs fournisseurs pour voir si elles ont corrigé la vulnérabilité.