Kritische OpenPGP.js-Schwachstelle ermöglicht das Fälschen von Signaturen
2025-06-10
Codean Labs hat eine kritische Schwachstelle (CVE-2025-47934) in der OpenPGP.js-Bibliothek entdeckt, die es Angreifern ermöglicht, beliebige Signaturen zu fälschen. Durch die Ausnutzung einer gültigen Signatur und das Anhängen eines schädlichen Datenpakets können Angreifer die OpenPGP.js-Überprüfungsprogramme dazu bringen, die schädlichen Daten als signiert zu akzeptieren und so Signaturen effektiv zu fälschen. Diese Schwachstelle betrifft mehrere webbasierte E-Mail-Clients und stellt ein kritisches Risiko dar. Die Versionen 5.11.3 und 6.1.1 beheben diese Schwachstelle. Es wird dringend empfohlen, ein Update durchzuführen.
Entwicklung
Signaturfälschung