Kritiek lek in GnuPG en Gpg4win kan remote code execution mogelijk maken

In dit artikel:

Een kritieke kwetsbaarheid is ontdekt in GnuPG en de Windows-uitvoering Gpg4win, meldt ontwikkelaar Werner Koch. Onderzoekers van OpenAI Security Research meldden dat een speciaal geprepareerd CMS (S/MIME) EnvelopedData-bericht met een te grote wrapped session key een stack buffer overflow kan veroorzaken. Daardoor kan de applicatie crashen (denial of service) en volgens Koch zeer waarschijnlijk ook remote code execution mogelijk worden — een aanvaller zou op afstand code kunnen uitvoeren via een gemanipuleerd bericht.

De melding kwam binnen op 18 januari; Koch bracht op 27 januari beveiligingsupdates uit. Er is nog geen CVE-nummer toegekend, maar patches zijn beschikbaar. Gebruikers van GnuPG/Gpg4win — veel gebruikt voor OpenPGP-e-mail- en bestandsversleuteling — worden dringend aangeraden de updates direct te installeren om misbruik te voorkomen.