安全研究

安全漏洞
PGP Corporation PGP嵌入OLE对象验证漏洞

发布日期:2003-03-12
更新日期:2003-03-18

受影响系统:
Network Associates PGP 7.1
Network Associates PGP Corporate Desktop 7.1.1
Network Associates PGP Corporate Desktop 7.1
Network Associates PGP Freeware 8.0
Network Associates PGP Desktop 8.0
Network Associates PGP Enterprise 8.0
Network Associates PGP Personal 8.0
Network Associates PGP 7.1.1
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000
描述:
BUGTRAQ  ID: 7076

PGP(Pretty Good Privacy)是一款由Network Associates维护的加密应用程序,可使用在多种Linux、Unix和Microsoft Windows操作系统下。

在部分配置下PGP处理嵌入的OLE对象时存在问题,远程攻击者利用这个漏洞发送嵌入OLE对象恶意邮件给目标用户,导致OLE对象被执行。

PGP处理签字验证的时候,会先把EMAIL中的OLE对象剔除,再基于文本的基础上验证消息签字,这过程不通知用户对象已经被剔除,但是如果当接收到邮件的用户不使用PGP验证消息"text viewer"对话框来读取消息的时候,会只验证签字合法性,而不进行剔除OLE对象操作,因此带有恶意OLE对象的消息就可能在用户系统上执行。

<*来源:Avri Schneider (avri_schneider@yahoo.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104750134422072&w=2
*>

建议:
厂商补丁:

Network Associates
------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.pgp.com/

浏览次数:2972
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障