GnuPG (aussi connu sous le nom de GPG, pour GNU Privacy Guard) est un outil permettant notamment de transmettre des messages signés et/ou chiffrés. La libgcrypt est une bibliothèque cryptographique dérivée de GPG, utilisée notamment par les versions 2.0 et supérieures de GPG (dont la 2.0.20 est disponible depuis le 10 mai dernier). Le 25 juillet dernier sont sorties des mises à jour de ces deux logiciels.
Cette mise à jour apporte un correctif de sécurité suite à la publication par Yuval Yarom et Katrina Falkner d'une méthode pour extraire les clés privées à l'aide d'un logiciel espion exploitant la Mémoire_cache de troisième niveau. La particularité de cette attaque est qu'elle est possible depuis n'importe quel programme exécuté sur la même machine physique, ce qui signifie dans un environnement mutualisé que celle-ci est possible depuis une machine virtuelle autre que celle exécutant GnuPG.