Súlyos biztonsági rés a Pretty Good Privacy-ben

Tóth Kristóf, 2002. szeptember 7. 11:06
Az Egyesült Államok kormánya több, mint egy évtizeddel ezelőtt fegyvernek minősítette a titkosítási technológiákat. Jelen esetben ez akár szó szerint is érthető. A biztonsági tanácsadással foglalkozó Foundstone bejelentette, hogy Pretty Good Privacy-vel (PGP) titkosított e-mail üzenetek akár virtuális fegyverként is használhatók a kiszemelt felhasználó számítógépének feltörésére.
A PGP hosszú fájlnevek kezelését végző kódjában lévő hiba lehetővé teszi, hogy egy támadó átvegye a címzett felhasználó számítógépe feletti irányítást, áll a Foundstone közleményében. A társaság magas veszélyességi osztályba sorolja a hibát, mivel viszonylag könnyen kihasználható, maga a titkosítási technológia igen széles körben elterjedt, a felhasználók pedig általában bizalommal tekintenek a titkosított üzenetekre.

A probléma a PGP Corporate Edition 7.1.0-s és 7.1.1-es verzióit érinti. A szoftvert fejlesztő Network Associates elkészítette, és weboldaláról elérhetővé is tette a javítófoltot. A társaság a közelmúltban átadta a szoftver jogait az újonnan létrehozott PGP Corporation-nek, a jelek szerint azonban még mindig biztosít támogatást a megoldáshoz.

A PGP problémákba ütközik 200 karakternél hosszabb nevű fájlok titkosításánál, azok visszaállítása közben pedig egy buffer overlow hiba kíséretében kifagy. Mint George Kurtz, a Foundstone vezérigazgatója elmondta, a címzett nem tudja azonnal megállapítani, hogy az érkezett levél tartalmaz-e ilyen hosszú nevű állományt. - Ez olyan, mint egy ZIP fájl. Lehet, hogy csak 8 karakteres neve van, belül azonban hosszú fájlnévvel ellátott állományok is lehetnek - mondta Kurtz.

- Legnagobb probléma az, hogy a hibát kihasználva azokat támadhatják meg, akik valóban titkos, értékes információt kezelnek. A támadó azt az információt is megszerezheti, amelyet a feladó titkosítani akart - tette hozzá.

Kulcsszavak: +legfontosabb security bug

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59