(http://www.epochtimes.com)
【大紀元9月10日訊】安全咨詢公司Foundstone上週四稱﹐經過PGP算法加密的電子郵件可以被用來輕易攻擊並控制受害者的計算機。
ZDNet China9月6日消息,Foundstone在一份忠告中說﹕“由於PGP處理長文件名的一個漏洞﹐導致黑客可以控制郵件接收人的計算機﹐提高其在局域網中的權限。”
該公司將此漏洞劃分為高危險級別﹐並稱﹕“由於人們對該加密算法的信任程度﹑易于實施性﹑以及大部份企業﹑軍隊及政府機構依賴PGP加密通訊。”
該漏洞存在於PGP企業版7.1.0和7.1.1中﹐該軟件的開發商Network Associates在其網站上貼出了補丁程序。該公司最近將全部PGP資產劃撥到新成立的PGP公司﹐然而將繼續提供對軟件的支持﹐雙方都未對此發表任何聲明。
Network Associates在其網站上稱﹐該漏洞是PGP處理加密文件中的長文件名時出現的﹐PGP對文件名長于200個字符的文件進行加密/解密就會出現問題﹐當PGP對文件解密時會導致內存溢出﹐從而引發安全隱患。
Foundstone首席執行官George Kurtz說﹐長文件名對於郵件接收者不太明顯。
Kurtz還說﹕“像ZIP文件一樣﹐你可以對加密文件只取8個字符內的文件名﹐但是壓縮包中的文件可以有長名字文件存在。”Kurtz稱﹐該漏洞的最大危險在於它威脅到最受保護的信息。Kurtz還說到﹕“許多PGP用戶在心理上有一定安全感﹐從而使該漏洞成為高危險級缺陷﹐黑客可以攻擊受加密保護的最敏感的信息。”
該漏洞類似于7月份發現的Outlook軟件的PGP漏洞。(http://www.dajiyuan.com)
