Sicherheitsforscher von Codean Labs haben eine kritische Schwachstelle in der weitverbreiteten Kryptographie-Bibliothek OpenPGP.js aufgedeckt. Die als CVE-2025-47934 klassifizierte Sicherheitslücke ermöglicht Angreifern die Fälschung digital signierter und verschlüsselter Nachrichten, was erhebliche Auswirkungen auf die Sicherheit verschlüsselter Kommunikation hat.
Technische Analyse der Schwachstelle
Die mit einem CVSS-Score von 8,7 bewertete Schwachstelle betrifft die Versionen 5 und 6 der OpenPGP.js-Bibliothek. Angreifer können durch Ausnutzung dieser Lücke mit nur einer gültigen Signatur und den zugehörigen Klartextdaten gefälschte Nachrichten erzeugen, die vom System als authentisch verifiziert werden.
Funktionsweise und Auswirkungen des Exploits
Der Angriff nutzt Schwachstellen in den Methoden openpgp.verify und openpgp.decrypt, die manipulierte Nachrichten fehlerhaft verarbeiten. Das System bestätigt fälschlicherweise die Gültigkeit von Signaturen auch bei modifizierten Inhalten. Besonders kritisch ist die Möglichkeit, sowohl eingebettete Signaturen als auch kombinierte verschlüsselte und signierte Nachrichten zu kompromittieren.
Betroffene Anwendungen und Lösungsmaßnahmen
Die Sicherheitslücke betrifft zahlreiche populäre Anwendungen wie FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere und Passbolt. Die Entwickler haben bereits Sicherheitsupdates in den Versionen 5.11.3 und 6.1.1 bereitgestellt. Ältere Versionen der 4.x-Reihe sind von dieser Schwachstelle nicht betroffen.
Empfehlungen für Entwickler und Nutzer
Daniel Hugens, leitender Kryptograph bei Proton und Hauptentwickler von OpenPGP.js, empfiehlt eine sofortige Aktualisierung auf die neuesten Versionen. Als Übergangslösung wird ein zweistufiger Verifikationsprozess empfohlen: zunächst die Entschlüsselung ohne verificationKeys, gefolgt von einer separaten Signaturprüfung mittels openpgp.verify.
Dieser Vorfall unterstreicht die Bedeutung regelmäßiger Sicherheitsupdates und gründlicher Überprüfungen kryptographischer Implementierungen. Organisationen sollten umgehend ihre Systeme auf die Verwendung betroffener Versionen prüfen und die erforderlichen Sicherheitsupdates implementieren. Eine kontinuierliche Überwachung und zeitnahe Reaktion auf Sicherheitsmeldungen sind essentiell für die Aufrechterhaltung sicherer Kommunikationskanäle.
