CYBER NEWS

CVE-2018-12020: SigSpoof PGP Bug permite que hackers para falsificar assinaturas

imagem Erro SigSpoof PGP

A Bug SigSpoof PGP foi descoberto a ser uma ameaça década de idade, que permite que hackers para falsificar assinaturas e identidade de qualquer usuário. Este é um raro exemplo em que um problema de segurança está disponível há muitos anos e a vulnerabilidade foi descoberta agora. PGP é uma das ferramentas de criptografia mais utilizados, usado principalmente em comunicações de e-mail.

Story relacionado: Violação Ticketfly Dados: 26,151,608 Os e-mails de clientes Exposed

CVE-2018-12020: O Impacto da SigSpoof PGP Bug

PGP é o método mais bem conhecida por fornecer comunicações seguras usando o método de chave pública-privada. No entanto, parece que uma vulnerabilidade década de idade, foi contido em seu núcleo que foi apenas descoberto. Uma vez que a comunidade de segurança anunciou o bug SigSpoof PGP praticamente todos os principais utilitários de software e serviços foram rapidamente atualizados.

O aviso de segurança fornecido CVE-2018-12020 mostra que o pacote GnuPG (o qual é a base para todos os principais implementações) mishandles os nomes de arquivos originais durante as ações de decodificação e verificação. Como consequência atacantes remotos podem falsificar o resultado das operações relevantes. De acordo com um dos especialistas que descobriu a falha SigSpoof (Marcus Brinkmann) escreveu que a conseuqnces pode ser devastador. O código GnuPG é usado em uma variedade de serviços, incluindo atualizações de software em distribuições Linux (para verificar os pacotes), backups, lançamentos de código fonte e muito mais.




De acordo com o CVE-2018-12020 consultivo do bug SigSpoof PGP afeta somente o software que permitiu que o detalhado opção. A prática de segurança é para desativá-lo por padrão no entanto uma série de guias on-line foram encontrados para recomendá-lo.

O bug funciona através da escondendo os metadados de uma forma que faz com que as aplicações de utilidade para tratá-lo como o resultado de uma verificação de assinatura. Como resultado, os aplicativos de e-mail falsamente mostram que as mensagens foram assinados por uma identidade escolhido pelos hackers. Os parâmetros necessários para executar o spoof são apenas uma chave pública ou o ID da chave.

Em uma nota relacionada em duas ocasiões distintas erros adicionais associados com shows de software cliente que hackers poderiam ter aproveitado a questão. A primeira ocasião mostra que os criminosos podem falsificar as assinaturas quando o modo detalhado não está habilitado. O outro bug identificado ainda permite a execução de código malicioso, além das operações de spoofing.

Todos os usuários que estão executando implementações de OpenPGP e código relacionado devem verificar com seus fornecedores para ver se eles ter corrigido a vulnerabilidade.

Avatar

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts - Local na rede Internet

Me siga:
TwitterGoogle Plus

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...