JohnnyCage

Ajtót nyit a hackereknek az Outlook Plug-In

A Network Associates meglehetősen népszerű Outlook kiegészítője céljával ellenben meggyengítette az e-mail levelezőprogram biztonságát.

Az eEye Digital Security napokban kiadott közleménye szerint a Network Associates Pretty Good Privacy (PGP) elnevezésű Outlook Plug-In kiegészítője egy olyan biztonsági rést nyit, amelyen keresztül a hackerek rosszindulatú kódot futtathatnak a felhasználó számítógépén, és átvehetik annak irányítását.

Az eEye és Network Associates (NA) cégek együttműködésének bizonyítéka, hogy az előbbi társaság csak az NA-féle javítófolt kiadásával egyidőben adta ki a hibáról szóló közleményt.

- A dolog iróniája az, hogy éppen azok a felhasználók válhatnak a hackerek célpontjává, akik egyébként éppen maximális biztonságot szerettek volna elérni - mondta Marc Maiffret, az eEye vezető szakértője. Az NA-féle PGP Plug-In ugyanis a felhasználó levelének titkosításáért, illetve digitális aláírással való ellátásáért felelős.

- A PGP egy megbízható termék, amely arra hivatott, hogy megakadályozza a felhasználó adatainak hackerek általi megszerzését. Ezen esetben azonban éppen fordítva történt, vagyis megkönnyítette a rendszerbe való bejutást - folytatta Maiffret.

Az eEye jelentése szerint a probléma abból adódik, hogy a PGP hibásan kezel egyes deformált e-maileket. A támadó egy megfelelően megformált, "hibás" e-mail segítségével bejuthat a felhasználó rendszerébe. A problémát súlyosbítja, hogy a támadó a rosszindulatú kód futtatása mellett a felhasználó titkosító kulcsait is megszerzheti, és hozzáférést nyerhet a titkosított levelekhez.

Bár a PGP javítása gyorsan elkészült, és a hiba bejelentésekor már elérhető volt, a problémát súlyosbítja, hogy a javítófoltot a titkosított levelek küldőjének és fogadójának egyaránt fel kell telepítenie PGP Plug-Injére.

A hiba a Network Associates közleménye szerint nem érinti a PGP Corporate Desktop felhasználókat. A javítás letölthető itt.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • zer0 #4
    Szerintem ertette, csak "kicsit" ironikus volt a hozzaszolasa... de teljesen igaza van.
  • Veriel #2
    Lassan az lesz a hir, hogy: "talaltak egy kodreszletet az IE-ben, amely segitsegevel _nem_ lehet leformazni a tavoli user gepet. A problema elharitasan az MS gozerovel dolgozik."
  • Veriel #1
    Meglepo es dobbenetes.