Une nouvelle vulnérabilité, SigSpoof, dont l'exploitation pourrait permettre la divulgation d'informations, a été découverte dans la version 2.2.6 de GnuPG (GPG). Cette vulnérabilité touche GnuPG, Enigmail, GPGTools et python-gnupg.
L'exploitation de cette faille pourrait permettre l'usurpation de la signature cryptographique d'un utilisateur. La vulnérabilité est due à un manque d'assainissement du paramètre 'filename' du logiciel OpenPGP quand l'utilisateur a activé l'option "verbose" dans le fichier gpg.conf.
Impact
- Atteinte à la confidentialité.
Criticité
- CVSS v3 : en cours d'analyse
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- GnuGP versions antérieures à 2.2.8
- Enigmail versions antérieures à 2.0.7
- GPGTools versions antérieures à 2018.3
CVE
- CVE-2018-12020
Correctifs
- La vulnérabilité est corrigée dans GPG 2.2.8, Enigmail 2.0.7, GPGTools 2018.3
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.