188/68 (IT) ประจำวันศุกร์ที่ 23 พฤษภาคม 2568
นักวิจัยจาก Codean Labs ได้เปิดเผยช่องโหว่ระดับ Critical ที่หมายเลข CVE-2025-47934 ในไลบรารี OpenPGP.js ซึ่งเป็น JavaScript library แบบโอเพนซอร์สที่ใช้สำหรับเข้ารหัสและลงลายเซ็นตามมาตรฐาน ซึ่งส่งผลกระทบต่อเวอร์ชัน 5.0.1 ถึง 5.11.2 และ 6.0.0 ถึง 6.1.0 ที่ทำให้ผู้โจมตีสามารถปลอมแปลงลายเซ็นดิจิทัล (signature spoofing) ในข้อความที่มีการลงลายเซ็นแบบ inline หรือแบบ signed+encrypted ได้สำเร็จ โดยไม่กระทบต่อกรณีที่ใช้ลายเซ็นแบบ detached
ตามคำแนะนำด้านความปลอดภัยระบุว่า ผู้โจมตีสามารถสร้างข้อความปลอมขึ้นใหม่ได้ โดยอาศัยลายเซ็นที่ถูกต้องเพียงรายการเดียว (แบบ inline หรือ detached) ร่วมกับข้อความต้นฉบับที่ถูกลงลายเซ็นจริง แล้วนำไปประกอบเป็นข้อความใหม่ที่ดูเหมือนมีลายเซ็นถูกต้อง แม้เนื้อหาภายในจะถูกเปลี่ยนโดยสิ้นเชิงก็ตาม ส่งผลให้ผู้รับเข้าใจผิดว่าข้อความนั้นได้รับการยืนยันจากผู้ส่งจริง
ช่องโหว่นี้ค้นพบโดยนักวิจัย Edoardo Geraci และ Thomas Rinsma และได้รับการแก้ไขแล้วในเวอร์ชัน 5.11.3 และ 6.1.1 ของ OpenPGP.js แนะนำให้ผู้ใช้งานอัปเดตเวอร์ชันโดยเร็วที่สุด หรือหากยังไม่สามารถอัปเดตได้ทันที ให้ใช้ วิธีตรวจสอบลายเซ็นแบบ manual verification แทนการใช้ฟังก์ชัน openpgp.verify() และ openpgp.decrypt() เพียงอย่างเดียว
