Lỗ hổng này được tiết lộ sau gần một tháng kể từ khi các nhà nghiên cứu công bố chuỗi lỗ hổng eFail trong các công cụ mã hóa PGP và S/Mime. Những lỗ hổng này có thể làm tiếp cận email đã được mã hóa dưới dạng plaintext, ảnh hưởng đến các ứng dụng email như Thunderbird, Apple Mail và Outlook.
Marcus Brinkmann, nhà phát triển phần mềm, đã phát hiện lỗ hổng kiểm soát đầu vào được đặt tên là SigSpoof. Điều này cho phép kẻ tấn công giả mạo chữ ký số với khóa công khai hoặc ID của người dùng mà không cần đến khóa cá nhân hoặc khóa công khai liên quan.
Một lỗ hổng bảo mật có mã CVE-2018-12020 đã được khắc phục, tác động đến các ứng dụng email phổ biến như GnuPG, Enigmail, GPGTools và python-gnupg. Hãy đảm bảo bạn đã cập nhật phần mềm lên bản mới nhất để bảo vệ thông tin của mình.
Phát hiện lỗ hổng trong GnuPG, mở cửa cho kẻ tấn công giả mạo chữ ký trong email.
Theo các nhà nghiên cứu, giao thức OpenPGP cho phép thêm tham số filename của file đầu vào vào thư đã được ký hoặc mã hóa. Kết hợp với thông báo trạng thái GnuPG (bao gồm thông tin chữ ký) trong một đường dữ liệu đơn, bằng cách thêm từ khóa được xác định trước để tách chúng.
Werner Koch, người duy trì GnuPG, cho biết các chương trình sẽ phân tích thông báo trạng thái để lấy thông tin tính hợp lệ của chữ ký và các thông số khác từ 'gpg'.
Khi giải mã thư, ứng dụng client sử dụng từ khóa để tách thông tin và hiển thị thư có chữ ký hợp lệ. Nếu bạn đã kích hoạt tùy chọn trong file gpg.conf, hãy chắc chắn rằng bạn đã cập nhật nó.
Các nhà nghiên cứu cũng phát hiện rằng filename có thể lên đến 255 ký tự và không được kiểm soát đúng cách. Điều này có thể mở cửa cho kẻ tấn công thêm nguồn cấp dữ liệu dòng hoặc các ký tự điều khiển khác.
Người nghiên cứu bảo mật Brinkmann minh họa cách các lỗ hổng được khai thác để tiêm nhiễm thông báo trạng thái giả của GnuPG vào trình phân tích cú pháp ứng dụng. Điều này giả mạo quá trình xác minh chữ ký và giải mã thông báo.
Nhà nghiên cứu cũng đánh giá cao khả năng lỗ hổng này ảnh hưởng đến nhiều cơ sở hạ tầng cốt lõi, không chỉ liên quan đến email mã hóa mà còn đến bản sao lưu, cập nhật phần mềm trong các bản phân phối và mã nguồn trong hệ thống kiểm soát phiên bản như Git.
Brinkmann cũng cung cấp 3 bằng chứng minh về cách giả mạo chữ ký trong Enigmail và GPGTools, cách thực hiện giả mạo chữ ký và mã hóa trong Enigmail, cũng như cách giả mạo chữ ký trong dòng lệnh.
Người dùng được khuyến nghị nâng cấp lên các phiên bản mới nhất để tránh rơi vào tình trạng mắc kẹt với lỗ hổng:
- Nâng cấp lên GnuPG 2.2.8 hoặc GnuPG 1.4.23: Tải về GnuPG
- Nâng cấp lên Enigmail 2.0.7: Tải về Enigmail
- Nâng cấp lên GPGTools 2018.3: Tải về GPG Tools
Các nhà phát triển được khuyến cáo thêm --no-verbose' vào tất cả các yêu cầu của GPG và nâng cấp lên python-gnupg 0.4.3.
Các ứng dụng sử dụng công cụ mã hóa GPGME sẽ được bảo vệ tốt hơn. Ngoài ra, không nên bật cờ --status-fd và -verbose để đảm bảo an toàn.
AMD đang trở lại mạnh mẽ với dòng vi xử lý Ryzen của mình. Sau thành công của Ryzen thế hệ thứ nhất, AMD đang dần giới thiệu bộ vi xử lý Ryzen thế hệ thứ hai. Mới đây, trên các trang mạng đã phát sóng kết quả thử nghiệm hiệu suất vi xử lý AMD Ryzen 5 2500X và Ryzen 3 2300X với các số liệu ấn tượng có thể đạt hiệu năng tương đương với vi xử lý Intel thế hệ thứ 8.