- เวอร์ชันที่ได้รับผลกระทบ
- Tink C++ 1.0 - 1.3.x
- ประเภทคีย์ที่ได้รับผลกระทบ
- Subtle API, AES-CTR-HMAC และ EncryptthenAuthenticate
คำอธิบาย
ก่อนเวอร์ชัน 1.4.0 คีย์ AES-CTR-HMAC-AEAD และการติดตั้งใช้งานที่เข้ารหัสลับอย่างเข้มงวดอาจเสี่ยงต่อการโจมตีโดยใช้การเข้ารหัสที่เลือก ผู้โจมตีสามารถสร้างข้อความเข้ารหัสที่ข้ามการยืนยัน HMAC ได้ต่อเมื่อเงื่อนไขทั้งหมดต่อไปนี้เป็นจริงเท่านั้น
- Tink C++ จะใช้ในระบบที่
size_tเป็นจำนวนเต็ม 32 บิต ซึ่งโดยปกติจะเกิดกับเครื่อง 32 บิต - ผู้โจมตีสามารถระบุข้อมูลที่เกี่ยวข้องแบบยาว (>= 2^29 ไบต์หรือประมาณ 536 MB)
Quan Nguyen จากทีมความปลอดภัยของ Snap รายงานปัญหานี้