CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
13 de gener de 2002


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

13 de gener de 2002 - Error de disseny al "plugin" per a l'Outlook de PGP 7.0

El "plugin" que integra l'encriptació de PGP dins de l'Outlook té un error de disseny que provoca l'emmagatzemament, en determinades circumstàncies i de forma automàtica, del text sense xifrar dels missatges xifrats rebuts.

PGP és l'estàndard "de facto" per a l'encriptació de fitxers i del correu electrònic amb un sistema de tecnologia híbrida de clau pública i xifrat simètric. La versió 7.0 amplia les prestacions d'encriptació i es converteix en un sistema de seguretat personal, incloent-hi un tallafocs personal, un sistema de detecció d'intrusos, un client de xarxes privades virtuals, etcètera.

Per a la integració del sistema d'encriptació de correu electrònic amb el Microsoft Outlook es fa servir un "plugin", que s'instal·la de forma automàtica durant el procés d'instal·lació. Aquest "plugin" és l'encarregat de realitzar les tasques de xifrat i desxifrat dels missatges de forma transparent per a l'usuari final.

S'ha descobert l'existència d'un error de disseny que pot provocar, en determinades circumstàncies, l'emmagatzemament d'una còpia en text clar d'un missatge rebut de forma xifrada.

El problema únicament succeeix quan el receptor d'un missatge respon a un missatge xifrat amb PGP i l'opció "Automatically decrypt/verify when opening messages" està activa mentre que l'opció "Always use Secure Viewer when decrypting" està desactivada.

Amb aquesta configuració poden passar dues situacions:

  • Si el receptor rep un missatge xifrat, l'obre i desxifra i a continuació tanca el missatge, aquest es conserva de forma xifrada a la carpeta de correu del receptor. Es tracta, doncs, del comportament esperat.
  • Si el receptor rep un missatge xifrat, l'obre i desxifra i a continuació fa una resposta, la còpia desxifrada que ha generat el "plugin" es conversa al disc dur del receptor. En cap moment es notifica d'això al receptor.

Es tracta doncs d'un error al disseny del "plugin" que no hauria de conservar aquesta còpia sense xifrar del missatge.

Per tal de prevenir aquest comportament anòmal cal procedir a activar l'opció "Always use secure viewer when decrypting" o bé desactivar l'opció "Automatically decrypt/verify when opening messages".

El problema afecta únicament a les següents versions de PGP:

  • PGP 7.0 executant-se a Windows 95, 98, ME, 2000 i NT 4.0
  • PGP 7.0.3 executant-se a Windows 95, 98, 2000 i NT 4.0
  • PGP 7.0.4 executant-se a Windows 95, 98, 2000 i NT 4.0

D'altra banda, el "plugin" per a l'Outlook inclòs a la versió 7.1.1 de PGP Corporate Desktop, recentment publicada, ja incorpora la solució a aquest problema.

Més informació

PGP 7.0 Outlook Plug-in Flaw
http://www.securiteam.com/windowsntfocus/5RP032K60C.html

PGP Outlook Plug-in Insecure Message Storage Vulnerability
http://www.securityfocus.com/bid/3825

PGP 7.0 Outlook Plug-in Flaw
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=
ind0201&L=ntbugtraq&F=P&S=&P=528

PGP Corporate Desktop
http://www.pgp.com/products/corporate-desktop/default.asp

Xavier Caballé
xavi@hispasec.com
Contacte: info@quands.com