开源加密库OpenPGP.js出现重大安全漏洞 电子邮件公钥加密被彻底破坏
山外的鸭子哥
#安全资讯 开源加密库 OpenPGP.js 出现重大安全漏洞,黑客可以伪造任意签名,电子邮件公钥加密被彻底破坏。这个加密库主要由 ProtonMail 使用和维护,目前 ProtonMail 已经发布新版本修复漏洞,使用该加密库的其他开发商和应用程序也需要立即升级。查看全文:https://ourl.co/109044
日前网络安全公司 Codean Labs 的研究人员披露开源加密库 OpenPGP.js 中的高危安全漏洞,该安全漏洞允许任意伪造签名和加密的消息,这导致依赖于该技术的电子邮件公钥加密被彻底破坏。
OpenPGP.js 是一个用 JavaScript 编写的开源加密库,旨在为 Web 应用程序和 Node.js 环境提供基于 OpenPGP 标准的加密和解密功能,也就是在客户端或服务器端实现安全的加密电子邮件通信,支持文件加密和数字签名等。
目前主要依赖该加密库的是加密电子邮件提供商 Proton Mail,事实上这个开源库也主要是 Proton Mail 在维护,所以实际受影响最大的也是 Proton Mail 的用户们。
分配的漏洞编号是 CVE-2025-47934,漏洞评分为 8.7/10 分,基于安全考虑研究人员并未透露漏洞的完整描述以及概念验证,不过待漏洞修复后这些概念验证代码就会被陆续公布。
根据简要描述我们得知根本问题在于 OpenPGP.js 的信任签名过程存在缺漏,为了伪造消息,攻击者需要一个有效的消息签名以及合法签名的纯文本数据,然后可以使用攻击者选择的任何数据伪造签名加密消息,这些消息看起来就像是 OpenPGP.js 合法签署的。
受影响的版本为 OpenPGP.js 5.0.1~5.11.2 以及 6.0.0-alpha~6.1.0,4.x 系列版本并未受影响,因此使用 OpenPGP.js 的开发者和用户应当升级到 5.11.3 和 6.1.1 版确保安全。
![[更新] 苹果宣布所有旧款iPhone/iPad/MacBook的电池更换价格上涨](https://img.lancdn.com/landian/2023/01/96737T.png)