💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
开源加密库OpenPGP.js存在严重漏洞,允许黑客伪造签名,影响电子邮件公钥加密。ProtonMail已发布修复版本,用户需尽快升级。受影响版本包括5.0.1至5.11.2及6.0.0-alpha至6.1.0。
🎯
关键要点
- 开源加密库 OpenPGP.js 存在严重安全漏洞,允许黑客伪造任意签名。
- 该漏洞影响电子邮件公钥加密,导致其安全性被彻底破坏。
- ProtonMail 是主要使用和维护该加密库的开发商,已发布修复版本。
- 受影响的版本包括 5.0.1 至 5.11.2 及 6.0.0-alpha 至 6.1.0。
- 漏洞编号为 CVE-2025-47934,评分为 8.7/10。
- 漏洞的根本问题在于信任签名过程存在缺漏,攻击者可伪造签名加密消息。
- 使用 OpenPGP.js 的开发者和用户应升级到 5.11.3 和 6.1.1 版以确保安全。
❓
延伸问答
OpenPGP.js的安全漏洞是什么?
OpenPGP.js存在严重漏洞,允许黑客伪造任意签名,导致电子邮件公钥加密的安全性被彻底破坏。
哪些版本的OpenPGP.js受到影响?
受影响的版本包括5.0.1至5.11.2及6.0.0-alpha至6.1.0。
ProtonMail如何应对OpenPGP.js的漏洞?
ProtonMail已发布修复版本,用户需尽快升级以确保安全。
这个漏洞的评分是多少?
该漏洞的评分为8.7/10。
开发者应该如何保护自己免受此漏洞影响?
开发者应升级到OpenPGP.js的5.11.3和6.1.1版本以确保安全。
OpenPGP.js的漏洞编号是什么?
漏洞编号为CVE-2025-47934。
🏷️
标签
➡️
