A Bug SigSpoof PGP foi descoberto a ser uma ameaça década de idade, que permite que hackers para falsificar assinaturas e identidade de qualquer usuário. Este é um raro exemplo em que um problema de segurança está disponível há muitos anos e a vulnerabilidade foi descoberta agora. PGP é uma das ferramentas de criptografia mais utilizados, usado principalmente em comunicações de e-mail.
CVE-2018-12020: O Impacto da SigSpoof PGP Bug
PGP é o método mais bem conhecida por fornecer comunicações seguras usando o método de chave pública-privada. No entanto, parece que uma vulnerabilidade década de idade, foi contido em seu núcleo que foi apenas descoberto. Uma vez que a comunidade de segurança anunciou o bug SigSpoof PGP praticamente todos os principais utilitários de software e serviços foram rapidamente atualizados.
O aviso de segurança fornecido CVE-2018-12020 mostra que o pacote GnuPG (o qual é a base para todos os principais implementações) mishandles os nomes de arquivos originais durante as ações de decodificação e verificação. Como consequência atacantes remotos podem falsificar o resultado das operações relevantes. De acordo com um dos especialistas que descobriu a falha SigSpoof (Marcus Brinkmann) escreveu que a conseuqnces pode ser devastador. O código GnuPG é usado em uma variedade de serviços, incluindo atualizações de software em distribuições Linux (para verificar os pacotes), backups, lançamentos de código fonte e muito mais.
De acordo com o CVE-2018-12020 consultivo do bug SigSpoof PGP afeta somente o software que permitiu que o detalhado opção. A prática de segurança é para desativá-lo por padrão no entanto uma série de guias on-line foram encontrados para recomendá-lo.
O bug funciona através da escondendo os metadados de uma forma que faz com que as aplicações de utilidade para tratá-lo como o resultado de uma verificação de assinatura. Como resultado, os aplicativos de e-mail falsamente mostram que as mensagens foram assinados por uma identidade escolhido pelos hackers. Os parâmetros necessários para executar o spoof são apenas uma chave pública ou o ID da chave.
Em uma nota relacionada em duas ocasiões distintas erros adicionais associados com shows de software cliente que hackers poderiam ter aproveitado a questão. A primeira ocasião mostra que os criminosos podem falsificar as assinaturas quando o modo detalhado não está habilitado. O outro bug identificado ainda permite a execução de código malicioso, além das operações de spoofing.
Todos os usuários que estão executando implementações de OpenPGP e código relacionado devem verificar com seus fornecedores para ver se eles ter corrigido a vulnerabilidade.