Falla en GnuPG permite a atacantes falsear firma de un usuario.

Investigadores de seguridad detectaron una falla crítica en una de las herramientas de encriptación mas utilizadas para dar privacidad a los correos electrónicos, que utilizan el estándar OpenGPG y dependen de GnuPG, para el cifrado y firma digital de los mensajes.

Esta falla viene casi un mes después en que unos investigadores revelaron una falla en varias aplicaciones que también utilizaban el estándar OpenGPG, al cual llamaron eFail. La falla anterior permitía a los atacantes poder mostrar los correos previamente encriptados en texto plano. La falla afectó a aplicaciones incluyendo Thunderbird, Apple Mail y Outlook.

El desarrollador de Software llamado Marcus Brinkmann, descubrió una vulnerabilidad en la entrada de variables, llamada SigSpoof, la cual hace posible que un atacante falsee una firma digital de alguien por su llave publica GPG o Key ID, sin requerir ninguna llave publica o privada previamente

La vulnerabilidad informada como CVE-2018-12020 afecta las aplicaciones GnuPG, Enigmail, GPGTolls y Python-gnupg las cuales han sido parchadas en las ultimas actualizaciones publicadas.

Según explicó el investigador, el protocolo OpenGPG, permite incluir el parámetro "Nombre de archivo", logrando ingresar un archivo dentro de un mensaje firmado o encriptado. Durante la desencripcíón y verificación de la herramienta GPG, esta puede mostrar el nombre de archivo. El nombre de archivo desplegado no esta verificado o controlado, puede llegar a contener lineas con origen de datos o caracteres que realicen control o tomar acciones, logrando asi poder realizar la falsificación del estado del mensaje, o la falsificación de la verificación del correo firmado.

Brinkmann tambien compartió una prueba de concepto en el cual muestra como las firmas pueden ser suplantadas en Enigmail y GPGTolls, y como la firma y encriptaciòn pueden ser suplantadas en Enigmail

Particularmente los vendos afectados ya publicaron los parches para que los usuarios ya no esten en riesgo


  • Actualizar a GnuPG 2.2.8
  • Actualizar a Enigmail 2.0.7
  • Actualizar a GPGTools 2018.3