مجموعة GnuPG تحذر من ثغرتين أمنيتن خطيرتين ببرامج المصدر المفتوح

ANKIDO

مشرف سابق
gpg-logo.png







مجموعة GnuPG تحذر من ثغرتين أمنيتن خطيرتين ببرامج المصدر المفتوح





كشفت مجموعة GnuPG مؤخرًا عن ثغرتين أمنيتين يعاني منهما برنامج GNU Privacy Guard. وهو البرنامج المجاني الذي ينتشر استخدامه في العديد من أنظمة التشغيل FreeBSD وOpenBSD ولينوكس.

ومن شأن هاتين الثغرتين السماح للهاكرز بإدخال توقيع في الرسالة الموقعة رقميًا أو تزوير التوقيعات في الملفات. ولهذا فهما يشكلان خطرًا داهمًا على المستخدمين الذين يعتمدون على التوقيعات الرقمية في اتصالاتهم الإلكترونية. حيث يصبح بمقدور الهاكرز إضافة معلومات غير صحيحة إلى أي تنبيه مرسل عبر البريد الإلكتروني أو تزوير التوقيعات الرقمية على تحديثات البرامج.

فعلى سبيل المثال، غالبًا ما يستخدم موزعي أنظمة لينوكس ويونكس توقيعات GPG الرقمية حتى يستطيع المستخدم التحقق من مصداقية النشرات الأمنية التي يرسلونها. كما تستخدمها نفس الشركات هذه التوقيعات على تحديثاتها حتى لا يتمكن أن شخص من التلاعب ببيانات هذه التحديثات.

لهذا حث باحثو الحماية المستخدمين على تثبيت التحديثات الأمنية التي تعالج هاتان الثغرتان الخطيرتان. على الرغم من أنه لم يتم الإبلاغ حتى الآن عن أي هجمات استغلت هذه الثغرة.

يذكر أن الملفات الإصلاحية لتحديث هذه الثغرات متاحة من فريق GnuPG. هذا ولقد سارعت الشركات التي تستخدم هذه التقنية مثل نوفيل وجينتو إلى تحديث منتجاتها لتفادي هاتين الثغرتين
 
طبعا ما يميز المصدر المفتوح هو سرعة سد الثغرات الموجودة بأى برنامج .
وغالبا يتم اكتشاف الثغرة من الملف المصدرى وليس من البرنامج التنفيذى .
بعكس البرامج الأخرى التى تكتشف فيها الثغرات بعد فوات الأوان .
 
عودة
أعلى