Project Zero พบช่องโหว่ร้ายแรงใน Libgrcrypt เวอร์ชั่นล่าสุดหลังออกมาเพียงสิบวัน ยังไม่มีการใช้งานวงกว้าง

Tavis Ormandy นักวิจัยจาก Project Zero รายงานถึงช่องโหว่ของ Libgcrypt เวอร์ชั่น 1.9.0 ที่เพิ่งออกมาเมื่อวันที่ 19 มกราคมที่ผ่านมา โดยเป็นช่องโหว่ร้ายแรงสูงทำให้แฮกเกอร์สามารถส่งข้อมูลไปให้เหยื่อถอดรหัส แต่กลับถูกแฮกเกอร์รันโค้ดในเครื่องได้

แม้ช่องโหว่นี้จะร้ายแรงมาก แต่เนื่องจากมีเวอร์ชั่นเดียวที่ได้รับผลกระทบและเพิ่งออกมาไม่กี่วันทำให้ผลกระทบจริงๆ ค่อนข้างน้อย โดยเฉพาะผู้ใช้ไลบรารีหลักคือ GnuPG นั้นยังไม่ได้ออกอัพเดตมาใช้ไลบรารีเวอร์ชั่น 1.9 นี้ และตอนนี้เวอร์ชั่นแก้ไข 1.9.1 ก็ออกมาแล้ว

ตัวโค้ดที่ก่อบั๊กนี้อยู่ใน Git มาตั้งแต่ 2 ปีก่อนที่ทีมงานเริ่มพัฒนาเวอร์ชั่น 1.9 ทางทีมพัฒนาแจ้งเตือนว่าไม่ควรใช้เวอร์ชั่นที่ทีมงานไม่ได้ release เป็นทางการ

ที่มา – gnupg-announce

No Description

ฟีเจอร์รวมของ Libgcrypt จากเว็บ GnuPG

Topics: 
Cryptography
Security