Kryptobugg i Java
En ny kryptobugg har identifierats i programspråket Java. Det gäller hur Java hanterar ECDSA-signaturer och buggen gör det möjligt att förfalska dessa signaturer. Sårbarheten gäller Java versioner mellan 15 och 18. Anledningen till att buggen uppstod var för att man bestämde sig för att skriva om koden från C++ till native Java.
Omfattningen av buggen är otroligt omfattande och gäller exempelvis OIDC, WebAuthn tokens, JWT och SAML. Intressant är också att Project Wycheproof som är utvecklat av Google har just tester för denna typ av sårbarhet.
ECDSA står för Elliptic Curve Digital Signature Algorithm och en längre förklaring av buggen finns på Neil Maddens blogg. Oklart gällande CVSS-scoring eftersom Oracle ger den 7.5 men Neil hävdar att den bör ligga på högsta och allvarligaste värdet som är 10.