Sicherheitslücke in PGP 7

Eine Sicherheitslücke in der Corporate Version von PGP gestattet möglicherweise das Ausführen von beliebigen Code. Betroffen sind die Versionen 7.1.0 und 7.1.1 der Corporate Edition. Der Fehler besteht beim Umgang mit langen Dateinamen innerhalb eines PGP-verschlüsselten Archivs. Der Dateiname des Archivs kann zwar quasi beliebig lang sein, übersteigen jedoch die Namen der einzelnen Dateien innerhalb des Archivs 200 Zeichen, kommt es zu einem Buffer Overflow. Die Sicherheitslücke wurde von Foundstone gefunden und als kritisch eingestuft. Foundstone-CEO George Kurtz sieht die besondere Gefahr darin, dass ausgerechnet die Anwender gefährdet sind, die tatsächlich vertrauliche Daten auf ihren Rechnern haben.

Zwar ist momentan noch kein Exploit bekannt, der diese Sicherheitslücke in der Realität ausnutzt, doch sollten Anwender der betroffenen Versionen schnellstmöglich den von Network Associates zum Download bereitgestellten Hotfix einspielen. (pab)