OpenPGP.jsの重大な脆弱性により署名偽造が可能に
2025-06-10
Codean Labsは、OpenPGP.jsライブラリに重大な脆弱性(CVE-2025-47934)を発見しました。この脆弱性により、攻撃者は任意の署名を偽造できます。有効な署名を悪用し、悪意のあるデータパケットを追加することで、攻撃者はOpenPGP.jsの検証者を欺き、悪意のあるデータを署名済みデータとして受け入れさせることができます。これにより、署名が事実上偽造されます。この脆弱性は、いくつかのWebベースのメールクライアントに影響を与え、重大なリスクをもたらします。バージョン5.11.3と6.1.1ではこの脆弱性が修正されています。直ちにアップデートすることをお勧めします。
開発
署名偽造