Libgcrypt 1.9.0 es la nueva versión de la biblioteca de cifrado integrada en el famoso programa GNU Privacy Guard (GPG). Como bien sabes, es un software muy práctico con el que puedes firmar datos, cifrar archivos para protegerlos de miradas indiscretas de terceros, etc. Además, puedes elegir entre diferentes tipos de cifrado y algoritmos disponibles.

Pues bien, esta biblioteca se ha transformado en un problema, ya que han encontrado una vulnerabilidad bastante severa en ella y que podría comprometer la seguridad de este software. Además, no solo es usada por GnuPG, también lo usan otros software de cifrado, por lo que podría afectar a otros programas de la misma manera.

En la lista de correo de desarrollo de este proyecto, el desarrollador tras GnuPG y Libgcrypt, ha enviado un mensaje alertando sobre este problema. Un problema que lleva unos días activo, ya que Libgcrypt 1.9.0 fue lanzado el 19 de enero de 2021, lo que quiere decir que se integró en la versión GnuPG 2.3.

Koch, el desarrollador, no confirmó en un inicio el origen del a naturaleza de esta vulnerabilidad, simplemente se ha limitado a alertar a los usuarios para que dejen de usar esta biblioteca de cifrado y ha anunciado una nueva actualización para corregir este problema de seguridad.

Pero unos días más tarde, el 26 de enero, sí que daría más información sobre esta vulnerabilidad crítica que continúa sin tener CVE. Se trata de un problema por el que se podría aprovechar un desbordamiento de buffer, lo que podría hacer que el atacante pudiera acceder a los datos sin ningún tipo de verificación o firma, lo cual es preocupante.

En cuanto al descubridor de este problema, es el investigador Tavis Ormandy de Google Project Zero. Y, como se ha podido saber, solo afecta a la versión Libgcrypt 1.9.0, y no a otras versiones.

Si eres de los afectados que tiene dicha versión de esta librería, puedes acceder aquí, ya que existe una versión actualizada con un parche que lo soluciona. Es Libgcrypt 1.9.1.