Дослідники з компанії Codean Labs виявили критичну вразливість у популярній криптографічній бібліотеці OpenPGP.js, яка ставить під загрозу безпеку цифрових комунікацій. Вразливість дозволяє зловмисникам здійснювати підробку криптографічних підписів та обходити механізми перевірки автентичності зашифрованих повідомлень.
Технічний аналіз вразливості CVE-2025-47934
Виявлена вразливість, якій присвоєно ідентифікатор CVE-2025-47934 та критичний рівень загрози 8,7 за шкалою CVSS, впливає на версії 5.x та 6.x бібліотеки OpenPGP.js. Проблема полягає в некоректній обробці криптографічних підписів, що дозволяє зловмиснику, маючи доступ до єдиного легітимного підпису, генерувати множинні підроблені повідомлення, які система помилково визначає як достовірні.
Механізм експлуатації та потенційні наслідки
Вразливість експлуатується через методи openpgp.verify та openpgp.decrypt, які неправильно валідують структуру підписаних повідомлень. Особливо небезпечним є те, що атака дозволяє підробляти як звичайні підписані повідомлення, так і комбіновані повідомлення з шифруванням та підписом, що суттєво розширює потенційний вектор атаки.
Вплив на екосистему та заходи протидії
Серед проектів, що використовують вразливу бібліотеку, знаходяться такі відомі рішення як FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere та Passbolt. Розробники OpenPGP.js оперативно випустили оновлення безпеки у версіях 5.11.3 та 6.1.1, які усувають виявлену вразливість. Важливо зазначити, що версії 4.x залишаються захищеними від даної атаки.
Рекомендації щодо захисту
Дэніел Хьюгенс, провідний криптограф Proton та головний розробник OpenPGP.js, наголошує на необхідності негайного оновлення бібліотеки до захищених версій. До встановлення оновлень рекомендується використовувати двоетапну верифікацію: спочатку виконувати розшифрування без verificationKeys, а потім окремо перевіряти підпис через openpgp.verify.
Цей інцидент яскраво демонструє критичну важливість регулярного оновлення криптографічних компонентів та проведення комплексного аудиту механізмів верифікації в системах захищених комунікацій. Організаціям, що використовують OpenPGP.js, наполегливо рекомендується провести повний аналіз своїх систем та забезпечити встановлення всіх необхідних оновлень безпеки.
