Összefoglaló
A GnuPG olyan kritikus sérülékenységét jelentették, amit kihasználva a támadók félrevezethetik a felhasználókat.
Leírás
A sérülékenységet az okozza, hogy az alkalmazás nem megfelelően validálja az aláírt és/vagy titkosított üzenetekben lévő fájl nevét. Ezt kihasználva input validációs hibát lehet előidézni, amely által a támadó megváltoztathatja az üzenet státuszát, így azt érvényesnek mutatja a felhasználó felé.
A GPGME programkönyvtárt használó alkalmazásokat nem érinti a sérülékenység.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: lists.gnupg.org
Egyéb referencia: securitytracker.com
CVE-2018-12020 - NVD CVE-2018-12020