(http://www.epochtimes.com)
【大纪元9月10日讯】安全咨询公司Foundstone上周四称﹐经过PGP算法加密的电子邮件可以被用来轻易攻击并控制受害者的计算机。
ZDNet China9月6日消息,Foundstone在一份忠告中说﹕“由于PGP处理长文件名的一个漏洞﹐导致黑客可以控制邮件接收人的计算机﹐提高其在局域网中的权限。”
该公司将此漏洞划分为高危险级别﹐并称﹕“由于人们对该加密算法的信任程度﹑易于实施性﹑以及大部分企业﹑军队及政府机构依赖PGP加密通讯。”
该漏洞存在于PGP企业版7.1.0和7.1.1中﹐该软件的开发商Network Associates在其网站上贴出了补丁程序。该公司最近将全部PGP资产划拨到新成立的PGP公司﹐然而将继续提供对软件的支持﹐双方都未对此发表任何声明。
Network Associates在其网站上称﹐该漏洞是PGP处理加密文件中的长文件名时出现的﹐PGP对文件名长于200个字符的文件进行加密/解密就会出现问题﹐当PGP对文件解密时会导致内存溢出﹐从而引发安全隐患。
Foundstone首席执行官George Kurtz说﹐长文件名对于邮件接收者不太明显。
Kurtz还说﹕“像ZIP文件一样﹐你可以对加密文件只取8个字符内的文件名﹐但是压缩包中的文件可以有长名字文件存在。”Kurtz称﹐该漏洞的最大危险在于它威胁到最受保护的信息。Kurtz还说到﹕“许多PGP用户在心理上有一定安全感﹐从而使该漏洞成为高危险级缺陷﹐黑客可以攻击受加密保护的最敏感的信息。”
该漏洞类似于7月份发现的Outlook软件的PGP漏洞。(http://www.dajiyuan.com)
