Pengembang Libgcrypt telah mengeluarkan pembaruan mendesak untuk mengatasi kerentanan kritis yang dilaporkan dalam versi perangkat lunak terbaru.
Libgcrypt adalah pustaka kriptografi open source dan modul GNU Privacy Guard (GnuPG). Meskipun kode dapat digunakan secara independen, Libgcrypt mengandalkan pustaka GnuPG 'libgpg-error'.
Versi 1.9.0 perangkat lunak ini dirilis pada 19 Januari. Pada hari Kamis, peneliti Google Project Zero Tavis Ormandy secara terbuka mengungkapkankeberadaan "heap buffer overflow di libgcrypt karena asumsi yang salah dalam kode manajemen buffer blok."
"Hanya mendekripsi beberapa data dapat meluap buffer heap dengan data yang dikendalikan penyerang, tidak ada verifikasi atau tanda tangan yang divalidasi sebelum kerentanan terjadi," kata Ormandy. "Saya yakin ini mudah dieksploitasi."
Peneliti menyampaikan temuannya kepada pengembang libgcrypt. Segera setelah laporan diterima, tim segera menerbitkan pemberitahuan untuk pengguna, "[Umumkan] [mendesak] Berhenti menggunakan Libgcrypt 1.9.0!".
Dalam penasehat, pengembang utama GnuPG Werner Koch meminta pengguna untuk berhenti menggunakan versi 1.9.0, yang karena rilis baru telah mulai diadopsi oleh proyek-proyek termasuk Fedora 34 dan Gentoo.
Versi baru libgcrypt, versi 1.9.1 , dirilis dalam hitungan jam yang mengatasi kerentanan parah, dengan nomor CVE yang belum ditetapkan.
Dalam analisis kerentanan , kriptografer Filippo Valsorda menyarankan bahwa bug tersebut disebabkan oleh masalah keamanan memori di C dan mungkin terkait dengan upaya untuk mempertahankan diri dari serangan saluran samping waktu.
Pengguna yang meningkatkan ke libgcrypt 1.9.0 disarankan untuk mengunduh versi yang ditambal secepat mungkin.
"Memanfaatkan bug ini sederhana dan dengan demikian tindakan segera untuk 1.9.0 pengguna diperlukan," kata pengembang.