Esta falla viene casi un mes después en que unos investigadores revelaron una falla en varias aplicaciones que también utilizaban el estándar OpenGPG, al cual llamaron eFail. La falla anterior permitía a los atacantes poder mostrar los correos previamente encriptados en texto plano. La falla afectó a aplicaciones incluyendo Thunderbird, Apple Mail y Outlook.
El desarrollador de Software llamado Marcus Brinkmann, descubrió una vulnerabilidad en la entrada de variables, llamada SigSpoof, la cual hace posible que un atacante falsee una firma digital de alguien por su llave publica GPG o Key ID, sin requerir ninguna llave publica o privada previamente
La vulnerabilidad informada como CVE-2018-12020 afecta las aplicaciones GnuPG, Enigmail, GPGTolls y Python-gnupg las cuales han sido parchadas en las ultimas actualizaciones publicadas.
Según explicó el investigador, el protocolo OpenGPG, permite incluir el parámetro "Nombre de archivo", logrando ingresar un archivo dentro de un mensaje firmado o encriptado. Durante la desencripcíón y verificación de la herramienta GPG, esta puede mostrar el nombre de archivo. El nombre de archivo desplegado no esta verificado o controlado, puede llegar a contener lineas con origen de datos o caracteres que realicen control o tomar acciones, logrando asi poder realizar la falsificación del estado del mensaje, o la falsificación de la verificación del correo firmado.
Brinkmann tambien compartió una prueba de concepto en el cual muestra como las firmas pueden ser suplantadas en Enigmail y GPGTolls, y como la firma y encriptaciòn pueden ser suplantadas en Enigmail
Particularmente los vendos afectados ya publicaron los parches para que los usuarios ya no esten en riesgo
- Actualizar a GnuPG 2.2.8
- Actualizar a Enigmail 2.0.7
- Actualizar a GPGTools 2018.3