OpenPGP.js是一个用JavaScript编写的开源加密库,旨在为Web应用程序和Node.js环境提供基于OpenPGP标准的加密和解密功能,也就是在客户端或服务器端实现安全的加密电子邮件通信,支持文件加密和数字签名等。
目前主要依赖该加密库的是加密电子邮件提供商ProtonMail,事实上这个开源库也主要是ProtonMail在维护,所以实际受影响最大的也是ProtonMail的用户们。分配的漏洞编号是CVE-2025-47934,漏洞评分为8.7/10分,基于安全考虑研究人员并未透露漏洞的完整描述以及概念验证,不过待漏洞修复后这些概念验证代码就会被陆续公布。
根据简要描述我们得知根本问题在于OpenPGP.js的信任签名过程存在缺漏,为了伪造消息,攻击者需要一个有效的消息签名以及合法签名的纯文本数据,然后可以使用攻击者选择的任何数据伪造签名加密消息,这些消息看起来就像是OpenPGP.js合法签署的。
受影响的版本为OpenPGP.js5.0.1~5.11.2以及6.0.0-alpha~6.1.0,4.x系列版本并未受影响,因此使用OpenPGP.js的开发者和用户应当升级到5.11.3和6.1.1版确保安全。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】