Kritická zranitelnost SigSpoof CVE-2018–12020 umožňuje v některých případech útočníkovi podepsat zprávu nebo soubor pouze veřejným klíčem oběti nebo jen pomocí znalosti ID klíče. Potřeba je, aby oběť měla v gpg.conf verbose. To tam ve výchozím stavu sice není, ale mnoho návodů to zmiňuje.
Chyba je v GnuPG 0.2.2 od roku 1998. Opravena byla v GnuPG 2.2.8, Enigmail 2.0.7, GPGTools 2018.3 a python-gnupg 0.4.3.
(zdroj: securityaffairs)
ČLÁNKY DO MAILU