Компания eEye Digital Security сообщила об обнаружении опасной уязвимости в модуле PGP-шифрования для почтового клиента Microsoft Outlook. Этот модуль выпускается компанией Network Associates и предоставляет пользователям Outlook возможность шифрования электронной почты с использованием стандарта PGP. Используя уязвимость, злоумышленник может захватить управление чужим компьютером, а в некоторых случаях даже читать зашифрованные сообщения.
Для реализации атаки на компьютер с установленным PGP-плагином для Outlook необходимо отправить на него специальным образом составленное электронное письмо, при попытке расшифровки которого произойдет переполнение "кучи" - области памяти, выделяемой для динамически размещаемых структур данных. При этом хакер сможет запустить на компьютере любой программный код.
Необходимо отметить, что для успеха атаки достаточно, чтобы пользователь просто попытался прочитать письмо, а запуска каких-либо вложенных файлов при этом не требуется. Уязвимыми для подобных атак являются компьютеры, на которых установлен Outlook совместно с программами NAI PGP Desktop Security 7.0.4, NAI PGP Personal Security 7.0.3, NAI PGP Freeware 7.0.3. Пользователям же пакета PGP Corporate Desktop, по данным eEye, пока ничего не угрожает.
Для того чтобы заделать дыру в PGP-плагине, эксперты eEye рекомендуют загрузить одну из заплаток, находящихся здесь.
