Sikkerhedskonsulentfirmaet Foundstone oplyste torsdag i et nyhedsbrev, at det populære krypteringsprogram PGP (Pretty Good Privacy) i udgaven fra Network Associates indeholder en brist. Den kan give en angriber mulighed for at tage kontrol med en pc via en mail med en vedhæftet krypteret fil.
Bristen går på PGP's evne til at håndtere lange fil-navne i krypterede arkiver. Det er vel at mærke ikke de navne, som brugeren giver filen, men de bagvedliggende længere navne, som programmerne selv genererer. Det skriver CNet.
Hvis et filnavn er længere end 200 tegn, og PGP prøver at kryptere eller dekryptere filen, resulterer det i en buffer overflow, der får PGP til at gå ned, forklarer Network Associates, der sælger PGP-værktøjet til virksomheder.
Ifølge Foundstone kan en angriber med de rette færdigheder bruge den svaghed til at smugle programmer ind i virksomheders netværk - og derved få kontrol over modtagerens pc. Det kan eksempelvis give adgang til at ændre på brugerens rettigheder i netværket.
Bristen betegnes af Foundstone som en højrisikobrist. Den vedrører PGP Corporate Edition 7.1.0 og 7.1.1.
Network Associates har offentliggjort en patch.
