JohnnyCage

Súlyos biztonsági rés a Pretty Good Privacy-ben

Az Egyesült Államok kormánya több, mint egy évtizeddel ezelőtt fegyvernek minősítette a titkosítási technológiákat. Jelen esetben ez akár szó szerint is érthető.

A biztonsági tanácsadással foglalkozó Foundstone csütörtökön bejelentette, hogy Pretty Good Privacy-vel (PGP) titkosított e-mail üzenetek akár virtuális fegyverként is használhatók a kiszemelt felhasználó számítógépének feltörésére.

A PGP hosszú fájlnevek kezelését végző kódjában lévő hiba lehetővé teszi, hogy egy támadó átvegye a címzett felhasználó számítógépe feletti irányítást, áll a Foundstone közleményében.

A társaság magas veszélyességi osztályba sorolja a hibát, mivel viszonylag könnyen kihasználható, maga a titkosítási technológia igen széles körben elterjedt, a felhasználók pedig általában bizalommal tekintenek a titkosított üzenetekre.

A probléma a PGP Corporate Edition 7.1.0-s és 7.1.1-es verzióit érinti. A szoftvert fejlesztő Network Associates elkészítette, és weboldaláról elérhetővé is tette a javítófoltot. A társaság a közelmúltban átadta a szofter jogait az újonnan létrehozott PGP Corporation-nek, a jelek szerint azonban még mindig biztosít támogatást a megoldáshoz.

A PGP problémákba ütközik 200 karakternél hosszabb nevű fájlok titkosítása közben, azok visszaállítása közben pedig egy buffer overlow hiba kíséretében kifagy. Mint George Kurtz, a Foundstone vezérigazgatója elmondta, a címzett nem tudja azonnal megállapítani, hogy az érkezett levél tartalmaz-e ilyen hosszú nevű állományt. - Ez olyan, mint egy ZIP fájl. Lehet, hogy csak 8 karakteres neve van, belül azonban hosszú fájlnévvel ellátott állományok is lehetnek - mondta Kurtz.

- Legnagobb probléma az, hogy a hibát kihasználva azokat támadhatják meg, akik valóban titkos, értékes információt kezelnek. A támadó azt az információt is megszerezheti, amelyet a feladó titkosítani akart - tette hozzá.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Johann #25
    Hogy lehet valaki ilyen elvakult windozos! :)

    De sok ilyen van aki nem lát mást csak az MS-t!
    És pedig csak az müködik, csak az a jó, csak az minden...
    Pedig van sok más is ami szintén müködik, és jó is...
    Nekem pl. jobban tetszenek a bika szerverek terminálokkal, mint a p2p jellegü MS megoldások ahová 50ezer PC-t kell venni!

    Ez csak az én véleményem, és nem vitaindító hozzászólás... :)
  • zer0 #13
    "Nehogy már ez is a ms hibája legyen, mert rögtön kihullik a hajam... :))
    "
    Haaat, meg az sem kizart, hogy kozvetve igen. Ha ok (M$) basztak el valamilyen Windows rendszerrutint akkor nem biztos, hogy a Network Associates a hibas.... :-)


    Ebbol a hirbol egyertelmuen kiderul, hogy egy bizonyos ceg egy adott termeke a hibas:

    "A probléma a PGP Corporate Edition 7.1.0-s és 7.1.1-es verzióit érinti. A szoftvert fejlesztő Network Associates..."

    Tehat nem kellene szidni mas, vetlen szervezeteket (OpenSource). Bar engem nem zavar kulonosebben...


  • zer0 #11
    "A probléma a PGP Corporate Edition 7.1.0-s és 7.1.1-es verzióit érinti. A szoftvert fejlesztő Network Associates elkészítette"

    Gondolom, hogy Windows ala keszitettek a programjukat... ott megszokottak az ilyen hibak... :-D Hoszu file-nev es tarsaik...


    Ugy latom ismet lehet OKOSODNI! :-D

    "Nyugodj bele, a linux is "olyan" bug-os, hogy egy-egy javításnál "át kell írni az egészet""



    Freel! Egyebkent mi van veled? Bal labbal keltel?