مجموعة GnuPG تحذر من ثغرتين أمنيتن خطيرتين ببرامج المصدر المفتوح
كشفت مجموعة GnuPG مؤخرًا عن ثغرتين أمنيتين يعاني منهما برنامج GNU Privacy Guard. وهو البرنامج المجاني الذي ينتشر استخدامه في العديد من أنظمة التشغيل FreeBSD وOpenBSD ولينوكس.
ومن شأن هاتين الثغرتين السماح للهاكرز بإدخال توقيع في الرسالة الموقعة رقميًا أو تزوير التوقيعات في الملفات. ولهذا فهما يشكلان خطرًا داهمًا على المستخدمين الذين يعتمدون على التوقيعات الرقمية في اتصالاتهم الإلكترونية. حيث يصبح بمقدور الهاكرز إضافة معلومات غير صحيحة إلى أي تنبيه مرسل عبر البريد الإلكتروني أو تزوير التوقيعات الرقمية على تحديثات البرامج.
فعلى سبيل المثال، غالبًا ما يستخدم موزعي أنظمة لينوكس ويونكس توقيعات GPG الرقمية حتى يستطيع المستخدم التحقق من مصداقية النشرات الأمنية التي يرسلونها. كما تستخدمها نفس الشركات هذه التوقيعات على تحديثاتها حتى لا يتمكن أن شخص من التلاعب ببيانات هذه التحديثات.
لهذا حث باحثو الحماية المستخدمين على تثبيت التحديثات الأمنية التي تعالج هاتان الثغرتان الخطيرتان. على الرغم من أنه لم يتم الإبلاغ حتى الآن عن أي هجمات استغلت هذه الثغرة.
يذكر أن الملفات الإصلاحية لتحديث هذه الثغرات متاحة من فريق GnuPG. هذا ولقد سارعت الشركات التي تستخدم هذه التقنية مثل نوفيل وجينتو إلى تحديث منتجاتها لتفادي هاتين الثغرتين.
