کمیته رکن چهارم – یک آسیبپذیری جدی در ابزار GNU Privacy Guard (GnuPG) نرمافزار رمزنگاری Libgcrypt، میتواند امکان نوشتن دادههای دلخواه بر روی دستگاه هدف و به این ترتیب، اجرای کد از راه دور را برای مهاجمان فراهم کند. این آسیبپذیری نسخه ۱٫۹٫۰ نرمافزار Libgcrypt را تحت تاثیر قرار میدهد.
کتابخانه Libgcrypt، یک مجموعه ابزار رمزنگاری متن باز است که برای رمزنگاری و امضای دادهها و ارتباطات استفاده میشود.
به گفته محققان، به دلیل یک فرض نادرست در کد بلوک مدیریت بافر، این آسیبپذیری از نوع سرریز بافر هیپ در نرمافزار Libgcrypt ایجاد شده است. تنها رمزگشایی برخی از دادهها، میتواند یک بافر هیپ را با دادههای تحت کنترل مهاجم سرریز کند و هیچ اعتبارسنجی یا امضایی، قبل از بروز آسیبپذیری تایید نمیشود.
آسیبپذیری مذکور بلافاصله پس از افشای آن وصله شد و از آنجایی که بهرهبرداری از آن ساده است، به کاربران توصیه میشود که در اسرع وقت، نرمافزار خود را بهروز کنند.
منبع : The Hacker News
