タグ: ECDSA

gbhackers.com

署名の可変性を悪用し、攻撃者が検証済みGitHubコミットの複製を生成可能に

攻撃者はGitのコミット署名フォーマットにおける署名の可変性(signature malleability)を悪用することで、「検証済み(Verified)」とされたGitHubコミットを密かに複製できます。内容は同一でありながらバイト単位では異なるコミットを作成し、有効な署名を保持したまま、新しいハッシュ値のもとで

cyberpress.org

GitHub「Verified」バッジ、同一の署名済みコミットで複数のハッシュに表示される問題

新たに発表された研究論文により、GitHubの「Verified」バッジはコミットハッシュが署名済みコンテンツを一意に識別することを保証しないことが明らかになりました。この事実は、ソフトウェアサプライチェーン全体でハッシュベースのセキュリティ制御を支えてきた根本的な前提を揺るがすものです。 Jacob Ginesin

bleepingcomputer.com

wolfSSLライブラリの重大な脆弱性により偽造証明書の使用が可能に

wolfSSL SSL/TLSライブラリの重大な脆弱性により、楕円曲線デジタル署名アルゴリズム(ECDSA)署名の検証時にハッシュアルゴリズムまたはそのサイズが不適切に検証されることで、セキュリティが低下する可能性があります。 研究者らは、攻撃者がこの問題を悪用して、対象のデバイスまたはアプリケーションに悪意のあ