Google deckt schwerwiegenden Fehler in der Verschlüsselungsbibliothek Libgcrypt auf – mit Auswirkungen auf viele Projekte

  • Eine “schwerwiegende” Schwachstelle in der Verschlüsselungssoftware Libgcrypt von GNU Privacy Guard (GnuPG) könnte es einem Angreifer ermöglichen, beliebige Daten auf den Zielrechner zu schreiben, was zu entfernter Codeausführung führen könnte.

    Die Schwachstelle, die die Version 1.9.0 von libgcrypt betrifft, wurde am 28. Januar von Tavis Ormandy von Project Zero entdeckt, einer Sicherheitsforschungseinheit innerhalb von Google, die sich dem Auffinden von Zero-Day-Fehlern in Hardware- und Softwaresystemen widmet.

    Keine anderen Versionen von Libgcrypt sind von der Sicherheitslücke betroffen.

    “Es gibt einen Heap-Puffer-Überlauf in libgcrypt aufgrund einer falschen Annahme im Block-Puffer-Management-Code”, sagte Ormandy. “Schon das Entschlüsseln einiger Daten kann einen Heap-Puffer mit vom Angreifer kontrollierten Daten überlaufen lassen, ohne dass eine Verifizierung oder Signatur vor dem Auftreten der Schwachstelle geprüft wird.”

    [Blocked Image: https://thehackernews.com/images/-yilOv0DP7Dk/YArTHpth-PI/AAAAAAAA3iA/g7VKaLpC19QwAPWO3mfVUdwlEU1_TTgQgCLcBGAsYHQ/s728-e100/pwned-password-728.jpg]

    GnuPG hat die Schwachstelle fast sofort innerhalb eines Tages nach Bekanntwerden behoben und gleichzeitig die Benutzer aufgefordert, die verwundbare Version nicht mehr zu verwenden. Die neueste Version kann hier heruntergeladen werden.

    Die Libgcrypt-Bibliothek ist ein Open-Source-Kryptographie-Toolkit, das als Teil der GnuPG-Software-Suite zum Verschlüsseln und Signieren von Daten und Kommunikation angeboten wird. Sie ist eine Implementierung von OpenPGP und wird für die digitale Sicherheit in vielen Linux-Distributionen wie Fedora und Gentoo verwendet, obwohl sie nicht so weit verbreitet ist wie OpenSSL oder LibreSSL.

    Laut GnuPG scheint der Fehler in 1.9.0 während der Entwicklungsphase vor zwei Jahren als Teil einer Änderung zur “Reduzierung des Overheads bei der generischen Hash-Schreibfunktion” eingeführt worden zu sein, aber er wurde erst letzte Woche von Google Project Zero entdeckt.

    Alles, was ein Angreifer also tun muss, um diese kritische Schwachstelle auszulösen, ist, der Bibliothek einen Block speziell präparierter Daten zum Entschlüsseln zu schicken und so die Anwendung dazu zu bringen, ein beliebiges Fragment von darin eingebettetem Schadcode (auch bekannt als Shellcode) auszuführen oder ein Programm (in diesem Fall gpg) zum Absturz zu bringen, das auf die libgcrypt-Bibliothek angewiesen ist.

    “Das Ausnutzen dieses Fehlers ist einfach und daher ist sofortiges Handeln für 1.9.0-Benutzer erforderlich”, so Libgcrypt-Autor Werner Koch. “Die 1.9.0-Tarballs auf unserem FTP-Server wurden umbenannt, so dass Skripte nicht mehr in der Lage sein werden, diese Version zu bekommen.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com