Un bug dans la librairie Libgcrypt de GnuPG permettait d’exécuter du code arbitraire dans un système. Un correctif a été diffusé très rapidement.

Le chercheur en sécurité Tavis Ormandy, de Google Project Zero, a décelé une faille jugée critique dans Libgcrypt 1.9.0, une librairie cryptographique du logiciel open source GnuPG, qui est assez largement utilisé pour chiffrer des e-mails et des fichiers.

En raison d’un dépassement de mémoire du tas, il était ainsi possible d’insérer des données dans le système ciblé et potentiellement de les faire exécuter. « Je crois que cette faille est facile à exploiter », souligne Tavis Ormandy dans un rapport d’analyse.

Le principal développeur de GnuPG, Werner Koch, a immédiatement publié une alerte et développé, en l’espace de quelques heures, un correctif. Les utilisateurs concernés sont donc priés de vérifier qu’ils disposent bien de la version patchée du logiciel.