安全公司Trail of Bits近日公开披露了JavaScript椭圆曲线加密库elliptic的两项严重漏洞,该库每周下载量逾千万,超过3,000个项目依赖其安全性。此次发现的漏洞分别为EdDSA签名可塑性(CVE-2024-48949)与ECDSA在特定前导零哈希下的签名验证错误(CVE-2024-48948),两者均可导致签名伪造或合法签名被拒绝验证,严重威胁加密协议的安全。Trail of Bits研究人员通过Wycheproof测试套件发现这些问题,并采用协调披露流程向社区通报。值得注意的是,EdDSA签名可塑性漏洞在90天披露期后仍未完全修复。
