Web

 

PGP-Plugin für Outlook birgt Sicherheitsrisiko

11.07.2002

MÜNCHEN (COMPUTERWOCHE) - Die als unknackbar geltende Verschlüsselungsmethode Pretty Good Privacy (PGP) lässt sich unter bestimmten Umständen aushebeln, berichten Experten von eEye Digital Security. Von der Sicherheitslücke sind Anwender betroffen, die die von Network Associates Inc. (NAI) herausgegebenen Programme "PGP Desktop Security 7.0.4", "PGP Personal Security 7.0.3" und "PGP Freeware 7.0.3" in Verbindung mit dem Plug-in für das Microsoft-Mail-Programm Outlook verwenden. Die Plug-ins für Outlook Express, den Freeware-Mail-Client Pegasus Mail und die von PGP-Erfinder Phil Zimmermann genutzte Software Eudora sind dagegen sicher.

Hacker können die Lücke nutzen, indem sie eine manipulierte E-Mail an einen Outlook-Nutzer schicken. Besonders gefährlich ist, dass kein Attachment geöffnet werden muss, wie bei der Infektion mit Würmern oder Viren üblich. Durch den Code in der Mail können Angreifer Zugriff auf bestimmte Speicherbereiche erlangen und beliebige Anwendungen auf dem Rechner installieren, zum Beispiel so genannte Keylogger. Durch solche Programme lassen sich eingetippte Passwörter abgreifen, die zur Entschlüsselung PGP-geschützter Nachrichten und Dateien dienen.

Obwohl NAI die Vermarktung von PGP im März 2002 eingestellt hat (Computerwoche online berichtete), hat der Hersteller Patches bereitgestellt. Die Verschlüsselungssoftware selbst findet sich noch auf zahlreichen Internet-Seiten, zum Beispiel auf der "International PGP Home Page". (lex)