Casa > cibernético Notícias > CVE-2018-12020: SigSpoof PGP Bug permite que hackers para falsificar assinaturas
CYBER NEWS

CVE-2018-12020: SigSpoof PGP Bug permite que hackers para falsificar assinaturas

imagem Erro SigSpoof PGP

A Bug SigSpoof PGP foi descoberto a ser uma ameaça década de idade, que permite que hackers para falsificar assinaturas e identidade de qualquer usuário. Este é um raro exemplo em que um problema de segurança está disponível há muitos anos e a vulnerabilidade foi descoberta agora. PGP é uma das ferramentas de criptografia mais utilizados, usado principalmente em comunicações de e-mail.

Story relacionado: Violação Ticketfly Dados: 26,151,608 Os e-mails de clientes Exposed

CVE-2018-12020: O Impacto da SigSpoof PGP Bug

PGP é o método mais bem conhecida por fornecer comunicações seguras usando o método de chave pública-privada. No entanto, parece que uma vulnerabilidade década de idade, foi contido em seu núcleo que foi apenas descoberto. Uma vez que a comunidade de segurança anunciou o bug SigSpoof PGP praticamente todos os principais utilitários de software e serviços foram rapidamente atualizados.

O aviso de segurança fornecido CVE-2018-12020 mostra que o pacote GnuPG (o qual é a base para todos os principais implementações) mishandles os nomes de arquivos originais durante as ações de decodificação e verificação. Como consequência atacantes remotos podem falsificar o resultado das operações relevantes. De acordo com um dos especialistas que descobriu a falha SigSpoof (Marcus Brinkmann) escreveu que a conseuqnces pode ser devastador. O código GnuPG é usado em uma variedade de serviços, incluindo atualizações de software em distribuições Linux (para verificar os pacotes), backups, lançamentos de código fonte e muito mais.




De acordo com o CVE-2018-12020 consultivo do bug SigSpoof PGP afeta somente o software que permitiu que o detalhado opção. A prática de segurança é para desativá-lo por padrão no entanto uma série de guias on-line foram encontrados para recomendá-lo.

O bug funciona através da escondendo os metadados de uma forma que faz com que as aplicações de utilidade para tratá-lo como o resultado de uma verificação de assinatura. Como resultado, os aplicativos de e-mail falsamente mostram que as mensagens foram assinados por uma identidade escolhido pelos hackers. Os parâmetros necessários para executar o spoof são apenas uma chave pública ou o ID da chave.

Em uma nota relacionada em duas ocasiões distintas erros adicionais associados com shows de software cliente que hackers poderiam ter aproveitado a questão. A primeira ocasião mostra que os criminosos podem falsificar as assinaturas quando o modo detalhado não está habilitado. O outro bug identificado ainda permite a execução de código malicioso, além das operações de spoofing.

Todos os usuários que estão executando implementações de OpenPGP e código relacionado devem verificar com seus fornecedores para ver se eles ter corrigido a vulnerabilidade.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo