GnuPG a spřátelené aplikace, nedostatečné vymezení podepsaných částí zprávy

Společnost CoreLabs zveřejnila oznámení GnuPG and GnuPG clients unsigned data injection vulnerability, ve kterém upozorňuje na nedostatečné vymezení podepsaných a nepodepsaných částí zpráv v některých aplikacích využívajících GnuPG. Nejde o chybu v kryptografii, ale o skutečnost, že OpenPGP zpráva může obsahovat jak podepsané, tak nepodepsané části. Aplikace využívající GnuPG ne vždy používají příslušné API GnuPG k vymezení toho co je skutečně podepsané, případně ne vždy prezentují informace uživateli tak, aby byl schopen rozeznat podepsané a nepodepsané části.