Lỗ Hổng Nghiêm Trọng CVE-2025-47934 Trong OpenPGP.js: Giả Mạo Chữ Ký Email Mã Hóa

14/06/2025
2 mins read
Nội dung
Lỗ hổng nghiêm trọng trong OpenPGP.js (CVE-2025-47934): Giả mạo chữ ký tin nhắn và email mã hóa
Tóm tắt về lỗ hổng
Phạm vi ảnh hưởng
Các phiên bản bị ảnh hưởng và bản vá
Phát hiện và biện pháp khắc phục
Kết luận

Lỗ hổng nghiêm trọng trong OpenPGP.js (CVE-2025-47934): Giả mạo chữ ký tin nhắn và email mã hóa

Một lỗ hổng nghiêm trọng được phát hiện trong OpenPGP.js, một thư viện JavaScript triển khai giao thức OpenPGP, cho phép kẻ tấn công giả mạo chữ ký tin nhắn và email được mã hóa. Lỗ hổng này được ghi nhận với mã định danh CVE-2025-47934 và ảnh hưởng đến nhiều phiên bản của thư viện. Bài viết này sẽ cung cấp cái nhìn chi tiết về lỗ hổng, phạm vi ảnh hưởng, các phiên bản bị tác động và biện pháp khắc phục.

Tóm tắt về lỗ hổng

CVE-2025-47934 là một lỗ hổng nghiêm trọng trong OpenPGP.js, cho phép kẻ tấn công tạo ra các tin nhắn giả mạo kết quả kiểm tra chữ ký hợp lệ, dù dữ liệu không thực sự được ký. Điều này có thể đánh lừa người nhận tin nhắn, khiến họ tin rằng nội dung là đáng tin cậy. Lỗ hổng ảnh hưởng đến các phiên bản từ 5.0.1 đến 5.11.2 và từ 6.0.0 đến 6.1.0 của OpenPGP.js.

Phạm vi ảnh hưởng

Lỗ hổng này tác động đến các loại tin nhắn cụ thể như sau:

  • Tin nhắn inline-signed: Hàm openpgp.verify có thể bị lừa để trả về kết quả cho thấy chữ ký hợp lệ, dù tin nhắn không thực sự được ký.
  • Tin nhắn signed-and-encrypted: Hàm openpgp.decrypt khi được sử dụng với các khóa xác minh cũng có thể bị giả mạo. Kẻ tấn công có khả năng tạo ra các tin nhắn được mã hóa và ký với nội dung tùy ý, nhưng vẫn hiển thị như có chữ ký hợp lệ.

Hệ quả của lỗ hổng này là nghiêm trọng, đặc biệt trong các ứng dụng phụ thuộc vào OpenPGP.js để bảo đảm tính toàn vẹn và xác thực của dữ liệu giao tiếp.

Các phiên bản bị ảnh hưởng và bản vá

Các phiên bản OpenPGP.js bị ảnh hưởng bởi lỗ hổng:

  • Phiên bản từ 5.0.1 đến 5.11.2
  • Phiên bản từ 6.0.0 đến 6.1.0

Để khắc phục vấn đề, người dùng được khuyến nghị nâng cấp lên một trong hai phiên bản đã được vá:

  • 5.11.3
  • 6.1.1

Phát hiện và biện pháp khắc phục

Để bảo vệ hệ thống trước lỗ hổng CVE-2025-47934, người dùng và quản trị viên nên áp dụng các biện pháp sau:

  1. Nâng cấp lên phiên bản đã vá: Cập nhật thư viện OpenPGP.js lên phiên bản 5.11.3 hoặc 6.1.1 để loại bỏ lỗ hổng.
  2. Kiểm tra chữ ký thủ công: Trong thời gian chờ cập nhật, có thể áp dụng kiểm tra chữ ký thủ công để xác minh tính xác thực của các tin nhắn, đặc biệt đối với tin nhắn inline-signed hoặc signed-and-encrypted.

Kết luận

Lỗ hổng CVE-2025-47934 trong OpenPGP.js là một vấn đề nghiêm trọng, có khả năng bị khai thác để giả mạo chữ ký tin nhắn và email mã hóa, gây ảnh hưởng đến tính bảo mật của các hệ thống sử dụng thư viện này. Việc cập nhật lên các phiên bản đã được vá là hành động cần thiết và nên được ưu tiên thực hiện ngay lập tức. Ngoài ra, việc tăng cường kiểm tra chữ ký thủ công cũng là một biện pháp tạm thời hữu ích để giảm thiểu rủi ro.