Şifrelenmiş mesajlaşma ve dijital imzalar için yaygın olarak kullanılan bir JavaScript kütüphanesi olan OpenPGP.JS’de kritik bir güvenlik açığı, araştırmacılar, saldırganların mesaj imzalarını taklit etmesine izin verdikten ve potansiyel olarak halk anahtarı kriptografisinin güven modelini zayıflatmasına izin verdikten sonra yamalandı.
CVE-2025-47934 olarak izlenen kusur, CODEAN Labs’tan güvenlik araştırmacıları Edoardo Geraci ve Thomas Rinsma tarafından ortaya çıkarıldı. OpenPGP.JS sürümlerini 5.0.1 ila 5.11.2 ve 6.0.0-alpha.0 ila 6.1.0 sürümlerini etkiler, ancak 4.x sürümü değil.
8.7 (yüksek) CVSS puanı alan güvenlik açığı, saldırganların, altta yatan veriler kötü bir şekilde değiştirilse bile, güvenilir bir taraf tarafından geçerli bir şekilde imzalanmış gibi görünecek şekilde imzalı veya imzalı ve şifreli mesajları manipüle etmelerini sağlar.
.png
)
OpenPGP.JS, FlowCrypt, Mailvelope ve diğerleri dahil olmak üzere çok sayıda Web tabanlı e-posta istemcisinde ve uygulamalarında şifreleme ve imza doğrulamasını güçlendirir.
Bu geniş evlat edinme, kusur siber suçluların sahtekâr mesajlar veya güvenilir görünen yazılım taahhütleri göndermesine izin verebileceğinden, yamanın aciliyetini artırdı.
Teknik detaylar
Güvenlik açığı, openpgp.js’nin mesaj imzalarını nasıl işlediği ve doğruladığından kaynaklanır. Saldırganlar, meşru bir şekilde imzalanmış bir mesaja ek paketler ekleyerek kötü niyetli bir mesaj oluşturabilirler.
Böyle bir mesaj kütüphane tarafından işlendiğinde openpgp.verify veya openpgp.decrypt İşlevler, sonuç, geri dönen veriler gerçekte imzalanmış olmasa da geçerli bir imzayı gösterebilir. Bu, mesaj bütünlüğü ve özgünlüğünün temel garantisini bozar.
Araştırmacılar, tek bir geçerli imzaya erişimle, bir saldırganın herhangi bir içerik içeren yeni mesajlar oluşturabileceğini ve daha sonra etkilenen OpenPGP.JS sürümleri tarafından gerçek olarak doğrulanacak olduğunu gösterdiler.
Hem satırda imzalanmış hem de imzalı ve şifreli mesajlar savunmasızdı, ancak müstakil imza doğrulamaları etkilenmedi.
Güvenlik açığı, 5.11.3 ve 6.1.1 sürümlerinde yamalar yayınlayan OpenPGP.JS bakımcılarına sorumlu bir şekilde açıklandı. Kullanıcılar ve kuruluşlar derhal yükseltme çağrısında bulunur.
Güncelleyemeyenler için geçici geçici çözümler, imzaların satır içi yerine ayrılmış olarak doğrulanmasını ve ayrı adımlarda şifre çözme ve doğrulamayı ele almayı içerir.
Keşif, yaygın olarak kullanılan ve olgun açık kaynaklı kütüphaneler için bile titiz güvenlik incelemelerinin öneminin altını çiziyor.
Codean Labs’ın Thomas Rinsma’nın belirttiği gibi, “İyice arama yaptığınızda, bu kadar yaygın olarak kullanılan (ve muhtemelen yaygın olarak gözden geçirilmiş) açık kaynaklı bir bileşende bile, kritik hatalar bulunabilir”.
- 6 Mayıs 2025: Güvenlik Açığı OpenPGP.JS Bug Bounty Programına bildirildi.
- 19 Mayıs 2025: CVE-2025-47934 Atandı, Yamalar serbest bırakıldı.
- 10 Haziran 2025: Tam teknik yazı yayınlandı.
OpenPGP.JS kullanıcılarının şifreli iletişimlerinin ve dijital imzalarının bütünlüğünü sağlamak için yazılımlarını mümkün olan en kısa sürede güncellemeleri tavsiye edilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin