INTERNET----------------- < Пред. | След. > -- < @ > -- < Сообщ. > -- < Эхи > --
 Nп/п : 4 из 4
 От   : August Abolins                      1:396/45.29       25 май 25 11:30:00
 К    : All                                                   25 май 25 22:01:01
 Тема : openpgp.js vulnerability
----------------------------------------------------------------------------------
                                                                                 
@MSGID: 1:396/45.29@fidonet 20c5123c
 @PID: OpenXP/5.0.64 (Win32)
 @CHRS: ASCII 1
 @TZUTC: -0400
 Best to patch up!

There is a CVE-2025-47934 issued for the openpgp.js issue  
mentioned a few days ago.

People using Mailvelop, Flowcrypt, Mymail-crypt, UDC,  
Encrypt.to, PGP Anywhere, passbolt  ..should be wary.

Protonmali seems to be using one of the openpgp.js packages out  
there too, but I cannot confirm which one.

""Proton Mail uses version 3.0 of OpenPGPjs. This version,  
released in March 2018, includes improvements that enable full  
interoperability with PGP and allows for better overall  
functionality, as outlined by Proton."  ..that`s their  
statement from 2018.

So.. does Protonmail use this one..
https://github.com/ProtonMail/gopenpgp ?

Or this one..
https://Github.com/openpgpjs/openpgpjs  ..has 6.1.0.


"In technical terms, the vulnerability arises because
OpenPGP.js fails to correctly associate the extracted message
data with its actual signature during verification. This
oversight allows attackers to manipulate the content of a
message while retaining a valid signature from a previous,
unrelated message.

"In order to spoof a message," the advisory explains, "the
attacker needs a single valid message signature (inline or
detached) as well as the plaintext data that was legitimately
signed. They can then construct an inline-signed or signed-and-
encrypted message containing any data of their choice, which
will appear as legitimately signed."

"This means a bad actor can reuse a valid signature to forge
new content that appears authentic to the recipient, bypassing
the trust model OpenPGP is built upon.

Mozilla`s Response and Patches
In response to these vulnerabilities, Mozilla has issued
security patches for the following versions:

Mozilla Firefox 134
Mozilla Thunderbird 134
Firefox ESR 115.19 and 128.6
Thunderbird ESR 115.19 and 128.6

https://thecyberexpress.com/critical-vulnerabilities-in-mozilla-products/


--- OpenXP 5.0.64
 * Origin:  (1:396/45.29)
SEEN-BY: 19/25 50/109 103/705 106/987 124/5016
130/330 153/757 154/10 30
 SEEN-BY: 203/0 221/0 229/426 240/1120 5832 263/1
280/464 5003 5006 292/854
 SEEN-BY: 292/8125 301/1 310/31 341/66 234 387/18
25 396/45 423/120 450/1024
 SEEN-BY: 460/58 463/68 467/888 633/280 712/848
770/1 5020/400 715 846 848
 SEEN-BY: 5020/1042 4441 12000 5022/128 5030/49 1081
1900 5058/104 5061/133
 SEEN-BY: 5075/128 5083/444
 @PATH: 396/45 280/464 467/888 5020/1042 4441


   GoldED+ VK   │                                                 │   09:55:30    
                                                                                
В этой области больше нет сообщений.

Остаться здесь
Перейти к списку сообщений
Перейти к списку эх