Специалисты по информационной безопасности компании Codean Labs выявили критическую уязвимость в популярной библиотеке шифрования OpenPGP.js. Обнаруженная проблема позволяет злоумышленникам осуществлять спуфинг подписанных и зашифрованных сообщений, что создает серьезную угрозу для безопасности коммуникаций.
Технические детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-47934 и оценку 8,7 по шкале CVSS, затрагивает версии 5 и 6 библиотеки OpenPGP.js. При эксплуатации бага злоумышленник, имея доступ к одной действительной подписи и соответствующим данным в открытом виде, может генерировать поддельные сообщения, которые будут определяться системой как легитимно подписанные.
Механизм работы эксплойта
Атака реализуется через методы openpgp.verify и openpgp.decrypt, которые некорректно обрабатывают специально сформированные сообщения. В результате система возвращает положительный результат проверки подписи даже для модифицированного содержимого. Особую опасность представляет возможность подделки как сообщений со встроенной подписью, так и комбинированных сообщений с подписью и шифрованием.
Затронутые проекты и решение проблемы
OpenPGP.js широко используется в различных проектах, включая FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere и Passbolt. Разработчики оперативно выпустили исправление в версиях 5.11.3 и 6.1.1. Важно отметить, что версии 4.x не подвержены данной уязвимости.
Рекомендации по безопасности
Дэниел Хьюгенс, руководитель команды криптографов Proton и ведущий разработчик OpenPGP.js, настоятельно рекомендует пользователям немедленно обновить библиотеку до последней версии. До установки обновлений следует применять двухэтапную верификацию: сначала выполнять расшифровку без verificationKeys, а затем проводить отдельную проверку подписи через openpgp.verify.
Данный инцидент подчеркивает важность регулярного обновления криптографических библиотек и тщательной проверки механизмов верификации подписей в системах безопасной коммуникации. Организациям, использующим OpenPGP.js, рекомендуется провести аудит своих систем и убедиться в установке последних патчей безопасности.
