Phát hiện lỗ hổng nghiêm trọng trong GnuPG, mở cửa cho kẻ tấn công giả mạo chữ ký trong email.

Buzz

Đọc tóm tắt

- Chuyên gia bảo mật phát hiện lỗ hổng trong ứng dụng mã hóa email sử dụng chuẩn OpenPGP.
- Lỗ hổng này cho phép kẻ tấn công giả mạo chữ ký.
- Lỗ hổng được tiết lộ sau chuỗi lỗ hổng eFail.
- Lỗ hổng kiểm soát đầu vào SigSpoof cho phép giả mạo chữ ký số.
- Lỗ hổng CVE-2018-12020 ảnh hưởng đến nhiều ứng dụng email.
- Filename không được kiểm soát đúng cách, mở cửa cho kẻ tấn công.
- AMD giới thiệu vi xử lý Ryzen thế hệ thứ hai với hiệu suất ấn tượng.

Một chuyên gia bảo mật vừa phát hiện lỗ hổng nghiêm trọng trong ứng dụng mã hóa email phổ biến sử dụng chuẩn OpenPGP, dựa trên GnuPG để mã hóa và ký thư điện tử. Lỗ hổng này cho phép kẻ tấn công giả mạo chữ ký.

Lỗ hổng này được tiết lộ sau gần một tháng kể từ khi các nhà nghiên cứu công bố chuỗi lỗ hổng eFail trong các công cụ mã hóa PGP và S/Mime. Những lỗ hổng này có thể làm tiếp cận email đã được mã hóa dưới dạng plaintext, ảnh hưởng đến các ứng dụng email như Thunderbird, Apple Mail và Outlook.

Marcus Brinkmann, nhà phát triển phần mềm, đã phát hiện lỗ hổng kiểm soát đầu vào được đặt tên là SigSpoof. Điều này cho phép kẻ tấn công giả mạo chữ ký số với khóa công khai hoặc ID của người dùng mà không cần đến khóa cá nhân hoặc khóa công khai liên quan.

Một lỗ hổng bảo mật có mã CVE-2018-12020 đã được khắc phục, tác động đến các ứng dụng email phổ biến như GnuPG, Enigmail, GPGTools và python-gnupg. Hãy đảm bảo bạn đã cập nhật phần mềm lên bản mới nhất để bảo vệ thông tin của mình.

Phát hiện lỗ hổng trong GnuPG, mở cửa cho kẻ tấn công giả mạo chữ ký trong email.

Theo các nhà nghiên cứu, giao thức OpenPGP cho phép thêm tham số filename của file đầu vào vào thư đã được ký hoặc mã hóa. Kết hợp với thông báo trạng thái GnuPG (bao gồm thông tin chữ ký) trong một đường dữ liệu đơn, bằng cách thêm từ khóa được xác định trước để tách chúng.

Werner Koch, người duy trì GnuPG, cho biết các chương trình sẽ phân tích thông báo trạng thái để lấy thông tin tính hợp lệ của chữ ký và các thông số khác từ 'gpg'.

Khi giải mã thư, ứng dụng client sử dụng từ khóa để tách thông tin và hiển thị thư có chữ ký hợp lệ. Nếu bạn đã kích hoạt tùy chọn trong file gpg.conf, hãy chắc chắn rằng bạn đã cập nhật nó.

Các nhà nghiên cứu cũng phát hiện rằng filename có thể lên đến 255 ký tự và không được kiểm soát đúng cách. Điều này có thể mở cửa cho kẻ tấn công thêm nguồn cấp dữ liệu dòng hoặc các ký tự điều khiển khác.

Người nghiên cứu bảo mật Brinkmann minh họa cách các lỗ hổng được khai thác để tiêm nhiễm thông báo trạng thái giả của GnuPG vào trình phân tích cú pháp ứng dụng. Điều này giả mạo quá trình xác minh chữ ký và giải mã thông báo.

Nhà nghiên cứu cũng đánh giá cao khả năng lỗ hổng này ảnh hưởng đến nhiều cơ sở hạ tầng cốt lõi, không chỉ liên quan đến email mã hóa mà còn đến bản sao lưu, cập nhật phần mềm trong các bản phân phối và mã nguồn trong hệ thống kiểm soát phiên bản như Git.

Brinkmann cũng cung cấp 3 bằng chứng minh về cách giả mạo chữ ký trong Enigmail và GPGTools, cách thực hiện giả mạo chữ ký và mã hóa trong Enigmail, cũng như cách giả mạo chữ ký trong dòng lệnh.

Người dùng được khuyến nghị nâng cấp lên các phiên bản mới nhất để tránh rơi vào tình trạng mắc kẹt với lỗ hổng:

- Nâng cấp lên GnuPG 2.2.8 hoặc GnuPG 1.4.23: Tải về GnuPG
- Nâng cấp lên Enigmail 2.0.7: Tải về Enigmail
- Nâng cấp lên GPGTools 2018.3: Tải về GPG Tools

Các nhà phát triển được khuyến cáo thêm --no-verbose' vào tất cả các yêu cầu của GPG và nâng cấp lên python-gnupg 0.4.3.

Các ứng dụng sử dụng công cụ mã hóa GPGME sẽ được bảo vệ tốt hơn. Ngoài ra, không nên bật cờ --status-fd và -verbose để đảm bảo an toàn.

AMD đang trở lại mạnh mẽ với dòng vi xử lý Ryzen của mình. Sau thành công của Ryzen thế hệ thứ nhất, AMD đang dần giới thiệu bộ vi xử lý Ryzen thế hệ thứ hai. Mới đây, trên các trang mạng đã phát sóng kết quả thử nghiệm hiệu suất vi xử lý AMD Ryzen 5 2500X và Ryzen 3 2300X với các số liệu ấn tượng có thể đạt hiệu năng tương đương với vi xử lý Intel thế hệ thứ 8.

Các câu hỏi thường gặp

Lỗ hổng trong ứng dụng mã hóa email có ảnh hưởng đến những ứng dụng nào?

Lỗ hổng trong ứng dụng mã hóa email ảnh hưởng đến nhiều ứng dụng phổ biến như Thunderbird, Apple Mail và Outlook, cho phép kẻ tấn công truy cập email đã mã hóa dưới dạng plaintext.

Người dùng nên làm gì để bảo vệ thông tin của mình khỏi lỗ hổng bảo mật này?

Để bảo vệ thông tin, người dùng nên nâng cấp phần mềm lên các phiên bản mới nhất của GnuPG, Enigmail và GPGTools. Điều này sẽ giúp khắc phục các lỗ hổng bảo mật và tăng cường an ninh.

Lỗ hổng SigSpoof cho phép kẻ tấn công thực hiện những gì trong email?

Lỗ hổng SigSpoof cho phép kẻ tấn công giả mạo chữ ký số mà không cần khóa cá nhân, gây ra sự không chính xác trong xác minh chữ ký và làm tổn hại đến tính toàn vẹn của email.

Làm thế nào để các nhà phát triển bảo mật ứng dụng của họ trước lỗ hổng này?

Các nhà phát triển nên thêm tùy chọn --no-verbose vào tất cả các yêu cầu GPG và nâng cấp lên phiên bản mới nhất của python-gnupg. Điều này giúp bảo vệ ứng dụng tốt hơn trước các cuộc tấn công.

Các phương pháp tấn công nào được minh họa bởi nhà nghiên cứu Brinkmann?

Nhà nghiên cứu Brinkmann đã minh họa ba phương pháp tấn công, bao gồm giả mạo chữ ký trong Enigmail và GPGTools, cũng như mã hóa trong dòng lệnh, cho thấy tính dễ bị tổn thương của các ứng dụng này.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua email: [email protected]