In OpenPGP.js klafft eine grosse Sicherheitslücke

Quelle: Noser Engineering AG

In OpenPGP.js klafft eine grosse Sicherheitslücke

Die Bibliothek OpenPGP.js von Proton ist von einer Sicherheitslücke betroffen, die mittlerweile behoben worden ist. Angreifer können durch deren Ausnutzung signierte Nachrichten unter falschem Namen versenden.

23. Mai 2025

In der Bibliothek OpenPGP.js von Proton Mail wurde gemäss der Dokumentation auf Github eine erhebliche Sicherheitslücke entdeckt. Besagte Lücke hat Auswirkungen auf die Prüfung der Signatur einer Nachricht. Wird die Lücke von einem Angreifer durch manipulierte Daten ausgenutzt, retournieren die Funktionen openpgp.verify sowie openpgp.decrypt eine gültige Signatur, obwohl dies in Wahrheit gar nicht der Fall ist. Für einen Angreifer bedeudet dies, dass er einen falschen Absender vortäuschen kann – perfekte Voraussetzung, um beispielsweise einen Phishing-Versuch zu starten.

rectangle

Für ein derartiges Täuschungsmanöver sind eine gültige Nachrichtensignatur sowie die Klartextdaten, die korrekt signiert wurden, notwendig, wie es weiter heisst. Die Sicherheitslücke mit der Kennung CVE-2025-47934 und dem Schweregrad "critical" ist mittlerweile über einen Patch behoben. Anwendern wird empfohlen, auf die veröffentlichten und gepatchten Versionen 5.11.3 oder 6.1.1 upzudaten. OpenPGP.js Version 4 ist vom Sicherheitsleck nicht betroffen. (dok)

Weitere Artikel zum Thema

Proton führt Alben-Funktion ein

16. Mai 2025 - Proton hat sein Angebot Proton Drive um eine Album-Funktion ergänzt, mit der man Fotos und Videos organisieren und teilen sowie synchronisieren kann.

Vivaldi-Browser kommt neu mit Proton VPN

31. März 2025 - Der durch seine vielen Konfigurationsmöglichkeiten bekannte Vivaldi-Browser kann neu mit VPN-Funktionen aufwarten, die vom Schweizer Mail-Dienst Proton stammen.

Proton nach Totalausfall wieder online

10. Januar 2025 - Am Donnerstag waren die Mail- und VPN-Systeme beim Schweizer Anbieter Proton während Stunden nicht mehr zugänglich. Mittlerweile konnte die Ursache ermittelt und das Problem behoben werden.

Artikel kommentieren

Transformation von SOCs: Autonome Sicherheit als neues Ideal

Transformation von SOCs: Autonome Sicherheit als neues Ideal

Angesichts vieler komplexer Bedrohungen müssen SOCs die eigene Strategie für die Cyberabwehr weiterentwickeln. Warum der Einsatz von KI und Cloud-Lösungen dabei eine grosse Rolle spielt, erläutert Palo Alto Networks.

Lenovo Mega Mai Promo: Holen Sie sich die besten Angebote!

Lenovo Mega Mai Promo: Holen Sie sich die besten Angebote!

Entdecken Sie die unglaublichen Angebote der Lenovo Mega Mai Promo! Sichern Sie sich erstklassige Notebooks, Desktops, Workstations und Zubehöre zu unschlagbaren Preisen.

Rundum sorglos mit Infrastruktur as a Service

Rundum sorglos mit Infrastruktur as a Service

Monatlicher Fixpreis für Hardware, Software und Dienstleistungen statt hohe Anschaffungs- und Supportkosten: Mit Nettop All-in-One profitieren auch kleinere Unternehmen von einer wirtschaftlich attraktiven, sichereren und stets funktionierenden IT-Infrastruktur.

Mit AI erfolgreich starten

Mit AI erfolgreich starten

Erkennen Sie das Potenzial der Künstlichen Intelligenz und entwickeln Sie erste eigene Ansätze für Ihr Unternehmen im AI-Workshop von Noser Engineering.

Die Zeit ist reif für eine neue Client Strategie

Die Zeit ist reif für eine neue Client Strategie

Wer heute noch in klassischen Beschaffungsmodellen denkt, verwaltet die Vergangenheit – aber nicht die Zukunft.

«Visual Computing Engineers sind in vielen Branchen gefragt»

«Visual Computing Engineers sind in vielen Branchen gefragt»

Der neue Bachelor Game and VR Development an der Fernfachhochschule Schweiz (FFHS) ist weit mehr als ein Studiengang für aufstrebende Game-Entwickler. Fachbereichsleiter Ismael Wittwer über die vielfältigen Berufsperspektiven, Game Juice, Compositing und die MedTechbranche.

GOLD SPONSOREN

SPONSOREN & PARTNER