Дефект позволяет хакерам взломать замок для Outlook

Широко распространенный плагин для клиента e-mail Microsoft Outlook, предназначенный для шифрования и заверения цифровой подписью электронных сообщений, оказался уязвимым и подвергает программу риску взлома.

В среду вечером секьюрити-фирма eEye Digital Security распространила предупреждение для пользователей плагина Pretty Good Privacy (PGP) для Microsoft Outlook, в котором утверждается, что обнаруженная в нем уязвимость позволяет злоумышленникам выполнять на компьютере жертвы вредоносное ПО. В среду же Network Associates выпустила патч, исправляющий эту ошибку.

По иронии судьбы баг — он затрагивает пользователей, которые более всего озабочены безопасностью, — не обошел стороной и главного специалиста eEye Марка Мейффрета (Marc Maiffret). «Продукту PGP очень доверяют, — прокомментировал Мейффрет. — Его назначение не допустить хакеров к информации, а в данном случае он не только не останавливает их, но, более того, облегчает им доступ».

Ошибка связана с тем, что PGP неправильно обрабатывает определенные, специально сформированные злоумышленниками сообщения e-mail, говорится в рекомендации eEye. Атакующий, отправив такое письмо пользователю Outlook, у которого установлен плагин PGP, затем получает доступ к системе этого пользователя. Он может не только исполнять на ней свои программы, но и похитить частные ключи шифрования и получить доступ к защищенным коммуникациям.

Мейффрет полагает, что пользователи PGP быстро установят патч на свои системы, но опасность усугубляется тем, что его необходимо установить не только отправителю, но и всем получателям шифрованных сообщений e-mail. «Если ваш адресат не исправит ошибку в своем плагине PGP, то и он подвергается риску», — пояснил Мейффрет.

В прошлом за слабую защиту критиковали клиент электронной почты Microsoft Outlook. Однако на этот раз проблема не в самой программе, а в дополнительном модуле. В предупреждении Network Associates утверждается, что она не затрагивает пользователей PGP Corporate Desktop. Патч можно загрузить с веб-сайта компании.

Предыдущие публикации:

2000-08-23		Обеспечение секретности: есть методы подешевле, чем PKI
2002-07-11		Новый пробел в защите Outlook и IE

В продолжение темы:

2002-07-16		Microsoft усилит защиту Exchange
2002-07-26		Microsoft топчет кишащих клопов
2002-08-06		ISIS станет источником секьюрити-информации 'open source'
2002-08-07		Ошибка затрагивает Windows, Mac и Linux

Обсуждение и комментарии

	glassy 12 Jul 2002 2:18 PM
раз ковбой

	eXOR - billgmicrosoft.com 15 Jul 2002 8:08 AM
Хмм... те кто пользуются PGP заботятся не о безопасности, а о privacy... имхо несколько разный круг забот.

	vIv 16 Jul 2002 10:33 AM
а оно без аутглюка тоже работает? или это дыра только плюг-ина?

← июнь 2002

8 9 10 11 12 15 16 17 18

август 2002 →