Pemburu insect Tavis Ormandy dari Project Zero Google baru saja menemukan insect berbahaya di tim Penjaga Privasi GNU libgcrypt perangkat lunak enkripsi.

Itu libgcrypt perpustakaan adalah perangkat sumber terbuka yang dapat digunakan siapa saja, tetapi mungkin paling dikenal sebagai pustaka enkripsi yang digunakan oleh tim Penjaga Privasi GNU yang digunakan secara luas GnuPG perangkat lunak (yaitu paket yang Anda gunakan saat menjalankan perintah gpg atau gpg2).

GnuPG disertakan dan digunakan untuk keamanan electronic di banyak distribusi Linux:

gpg adalah versi khusus OpenPGP dari GNU Privacy Guard (GnuPG). Ini adalah alat untuk menyediakan enkripsi electronic dan layanan penandatanganan menggunakan standar OpenPGP. gpg menghadirkan manajemen kunci lengkap dan semua fitur yang dapat Anda harapkan dari implementasi OpenPGP yang layak.

Secara teori, kerentanan ini dapat menyebabkan apa yang dikenal sebagai RCE, kependekan dari Eksekusi kode jarak jauh, karena insect dapat dipicu hanya dengan mengirim libgcrypt blok data mengirim dijebak untuk didekripsi.

Dengan kata lain, app yang digunakan libgcrypt untuk mendekripsi dan memeriksa integritas data yang dikirimkan dari luar jaringan – ironisnya, sesuatu yang mungkin Anda lakukan untuk melihat apakah Anda harus memercayai info tersebut – dapat ditipu untuk menjalankan fragmen sembarang kode malware memercayai disembunyikan di dalam info tersebut.