นักวิจัยจาก Google Project Zero พบช่องโหว่ใน Libgcrypt เวอร์ชั่น 1.9.0 หลังซอฟต์แวร์พึ่งเปิดตัวเวอร์ชันเมื่อวันที่ 19 มกราคมที่ผ่านมา

Tavis Ormandy นักวิจัยจาก Google Project Zero ได้เปิดเผยถึงช่องโหว่ใน Libgcrypt เวอร์ชั่น 1.9.0 ที่ได้รับการเปิดตัวเวอร์ชันใหม่ในวันที่ 19 มกราคมที่ผ่านมา

Libgcrypt เป็นไลบรารีการเข้ารหัสแบบโอเพ่นซอร์สและมีโมดูลภายในคือ GNU Privacy Guard (GnuPG) ช่องโหว่ที่ถูกค้นพบใน libgcrypt เวอร์ชั่น 1.9.0 เป็นช่องโหว่ Heap buffer overflow ซึ่งเกิดจากการตรวจสอบการจัดการหน่วยความจำที่ไม่ถูกต้อง ผู้โจมตีสามารถใช้ข้อผิดพลาดนี้โดยการส่งข้อมูลให้ผู้ที่ตกเป็นเป้าหมายทำการถอดรหัส เมื่อผู้ที่ตกเป็นเป้าหมายทำการถอดรหัสผู้โจมตีจะสามารถรันโค้ดที่เป็นอันตรายที่ถูกแอบแฝงไปกับข้อมูลที่ส่งไปได้

ทั้งนี้ช่องโหว่จะมีผลกระทบกับ Libgcrypt เวอร์ชั่น 1.9.0 โดยในคำแนะนำผู้พัฒนาหลักของ GnuPG ได้ขอให้ผู้ใช้หยุดการใช้ Libgcrypt เวอร์ชัน 1.9.0 และทำการอัปเดต Libgcrypt ให้เป็นเวอร์ชัน 1.9.1 เพื่อป้องกันการตกเป็นเป้าหมายของการโจมตี

ที่มา: zdnet