Une vulnérabilité critique de la branche stable du logiciel GnuPG précédant la version 1.4.2.2 a été détectée lors de recherche concernant une vulnérabilité précédente datant du mois de février 2006. Cette faille affecte les messages avec signature incorporée (cas typique des emails) et résulte de l'insertion de données dans un message déjà signé, GnuPG voyant un signature valide.

La mise à jour vers la version 1.4.2.2 corrige le problème.
La branche de développement 1.9.x ne serait pas affectée par cette faille par défaut.

Annonce sur la mailing-list de Gnupg.org :
- GnuPG does not detect injection of unsigned data