Vulnérabilités

PGP pour Windows encore vulnérable.

Par Jerome Saiz, le 09 sept 2002 à 11:49:00.

Le logiciel de chiffrement PGP n'apprécie guère les fichiers aux noms un peu longs : dépassé 200 caractères, il peut permettre à un pirate de prendre le contrôle de votre PC. La faille ne touche cependant que PGP pour Windows.

Il suffit, pour un pirate, de faire parvenir à sa victime une archive PGP un peu particulière pour prendre le contrôle de son PC sous Windows.
Cette faille, qui n'a rien à voir avec celle, très complexe, découverte cet été, ne touche que PGP Corporate Desktop 7.1.x et exploite tout simplement un dépassement de mémoire tampon. Une erreur de programmation connue depuis plus de trente ans, et qui constitue pourtant à elle seule la grande majorité des failles découvertes de nos jours.
Ce buffer overflow là est niché dans la procédure chargée de l'analyse du nom des archives chiffrées. Si ce dernier dépasse 200 caractères, il est possible d'utiliser l'excédent du nom comme un code exécutable (le plus souvent afin d'ouvrir une porte dérobée sur le système). Il faut bien sûr pour cela que la victime tente de lire l'archive.
Un correctif est disponible sur le site de Network Associates, l'ancien propriétaire du logiciel, aujourd'hui revendu à PGP Corp.

Plus d'information

Le correctif de Network Associates.

Bind de nouveau vulnérable. (13 nov 2002)
Le client Telnet maison de Windows vulnérable (21 oct 2000)
Encore une vulnérabilité dans le noyau de Linux. (20 fév 2004)
Un liste de produits SSH vulnérables. (30 jan 2003)
Apache pour Windows en danger. (15 août 2002)

Cartes blanches

Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.	Intégrer l'analyse de risques dans les projets Stéphane Aubert Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
>> Plus de Cartes Blanches

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres