Project Description
Im Rahmen eines Projekts mit dem Ziel das Browser-Plugin «Mailvelope» weiterzuentwickeln, wurde SEC Consult vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt, eine Sicherheitsüberprüfung von Mailvelope und OpenPGP.js durchzuführen. Dabei konnten diverse Schwachstellen identifiziert werden welche es u.A. einem Angreifer erlaubt hätten in spezifischen Szenarien den privaten Schlüssel eines Opfers zu erlangen.
Weitere Informationen:
- Security-Advisory (Englisch)
- Kurzinformation zum Projekt
- Pressemeldung des BSI
Security Research: Wolfgang Ettlinger / @2019
Project Details
- TitleMultiple vulnerabilities
- ProductOpenPGP.js
- Vulnerable version<=4.2.0
- Fixed version4.3.0
- CVE numberCVE-2019-9153, CVE-2019-9154, CVE-2019-9155
- Impactcritical
- Homepagehttps://openpgpjs.org
- Found2018-2019
- ByWolfgang Ettlinger (Office Vienna) | SEC Consult Vulnerability Lab