Scoperta falla di sicurezza in GPG
E’ stato scoperto un serio problema nella verifica delle firme digitali da parte di GPG, bug che riguarda quindi anche l’uso di GPG nelle email.
Sarebbe infatti possibile per un attacante prendere un messaggio firmato e inserire dati arbitrari nel testo senza che la firma ne risulti modificata.
A seconda di come gpg viene invocato, gpg potrebbe restituire falsi positivi, come dimostrato nello studio di alcune varianti dell’attacco.
Tutte le versioni di gnupg precedenti alla 1.4.2.2 sono affette da questo bug, è fortemente raccomandato passare al più presto possibile alla versione 1.4.2.2.