Bir kusur keşfedildi OpenPGP şifrelemesi için yaygın olarak kullanılan bir JavaScript kitaplığı olan OpenPGP.js. CVE-2025-47934 olarak izlenen güvenlik açığı, tehdit aktörlerinin hem imzalı hem de şifreli mesajları taklit etmesine izin vererek, halk anahtarı kriptografisine olan güven temelini etkili bir şekilde zayıflatıyor.
CVSS ölçeğinde 8.7 (yüksek) olarak derecelendirilen güvenlik açığı, CODEAN Labs’dan güvenlik araştırmacıları Edoardo Geraci ve Thomas Rinsma tarafından keşfedildi. Bulguları, OpenPGP.JS GitHub Deposu’na gönderilen bir danışmanda, tam bir teknik yazı ve kavram kanıtı ile açıklandı.
POC’yi yayınlamadaki gecikme, geliştiricilere ve kullanıcılara gerekli yamaları uygulamak için zaman vermeyi amaçlayan standart bir uygulamadır.
CVE-2025-47934 güvenlik açığının doğası
Sorun yatıyor OpenPGP.Verify Ve openpgp.decrypt OpenPGP.JS işlevleri. Danışmanlığa göre, mesaj asla güvenilir bir taraf tarafından imzalanmamış olsa bile, bu işlevler tarafından yanlış bir şekilde geçerli bir imza doğrulaması döndürecek şekilde işlenebilir. Bu kusur hem satır içi imzalı mesajları hem de imzalı ve şifreli mesajları etkiler.
Teknik açıdan, güvenlik açığı ortaya çıkar, çünkü OpenPGP.JS, çıkarılan mesaj verilerini doğrulama sırasında gerçek imzasıyla doğru bir şekilde ilişkilendiremediğinden ortaya çıkar. Bu gözetim, saldırganların önceki, ilgisiz bir mesajdan geçerli bir imza tutarken bir mesajın içeriğini manipüle etmesine izin verir.
“Bir mesajı taklit etmek için,” diye açıklıyor danışman, “saldırganın tek bir geçerli mesaj imzasına (satır içi veya ayrılmış) ve meşru bir şekilde imzalanan düz metin verilerine ihtiyacı var. Daha sonra, yasal olarak imzalanmış gibi görünecek, seçtikleri herhangi bir veri içeren satır içi imzalı veya imzalı ve şifreli bir mesaj oluşturabilirler.”
Bu, kötü bir aktörün, alıcıya otantik görünen yeni içerik oluşturmak için geçerli bir imzayı yeniden kullanabileceği ve OpenPGP’nin üzerine inşa edildiği güven modelini atlayabileceği anlamına gelir.
Güvenlik açığı, OpenPGP.JS’nin 5.0.1 ila 5.11.2 ve 6.0.0-alfa.0 ila 6.1.0 sürümlerini etkiler. Kullanıcılara her ikisi de gerekli güvenlik yamalarını içeren 5.11.3 veya 6.1.1 sürümüne yükseltmeleri şiddetle tavsiye edilir. Özellikle, 4.x sürüm bu konudan etkilenmez.
Azaltma stratejileri
Yamalar mevcut olsa da, hemen yükseltemeyen kullanıcılar geçici çözümler uygulamaya teşvik edilir:
- Satır içi ile imzalanmış mesajlar için, mesajı ve imzayı manuel olarak çıkarın, ardından imzayı ayrılmış gibi doğrulayın. Bu, yeni bir mesaj nesnesi oluşturmayı içerir openpgp.createmessage ve çıkarılan imza ile birlikte geçmek OpenPGP.Verify.
- İmzalı ve şifreli mesajlar için, önce doğrulama anahtarları belirtmeden mesajı çözün. Ardından, yeniden çözülmüş içeriği ayrı bir adımda doğrulayın, imzayı tekrar müstakil olarak değerlendirin.
Bu adımlar, etkilenen sürümlerde bulunan savunmasız kombine doğrulama kurutma mantığına güvenmeyi önler.
Özetle, CVE-2025-47934’ün keşfi, istemci tarafı kriptografik kütüphanelerde, özellikle JavaScript’te yazılan ve tarayıcı ortamlarında kullanılan kritik riskleri vurgulamaktadır. Şifreli iletişimi güvence altına alan araçlar için titiz test ve validasyonun gerekliliğini vurgular.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.