Cryptage des mails : PGP Desktop victime d’une faille

Suite à la découverte d’une faille dans le code du célèbre outil de cryptage PGP Desktop, les utilisateurs sont aujourd’hui invités à télécharger la dernière version du logiciel.

La faille intervient au niveau de Windows Service sur lequel s’installe automatiquement PGP Desktop. Elle peut être exploitée par n’importe quel utilisateur local ou distant pour exécuter du code offrant des privilèges d’un niveau supérieur.

L’équipe de testeurs de vulnérabilités de NGS Software a évalué la faille à « un risque moyen » et précisé qu’elle affectait uniquement les versions du logiciel antérieures à PGP Desktop 9.5.1.

« La vulnérabilité apparaît parce que le code chargé de traiter les objets transmis sur l’interface du service ne procède à aucune forme de validation desdits objets », a déclaré Peter Winter-Smith de NGS Software.« Le code part de l’hypothèse que les données objet sont entièrement fiables dans la forme sous laquelle il les reçoit, c’est-à-dire qu’il accepte d’emblée les pointeurs absolus sans aucune forme de validation. »

NGS Software n’a pas encore mis au point de solution de contournement et encourage par conséquent tous les utilisateurs de PGP Desktop à se mettre rapidement à niveau.

« NGS Software nous a rapporté ce problème. Celui-ci est réglé pour PGP 9.5.1 (livrée le 2 November 2006) sur lequel le message est analysé correctepement. Sur la version 9.5.2, il y a un correctif additionnel sur lequel un socket avec message (‘message socket’) est explicitement ouvert pour un accès en local », indique Jon Callas, en qualité de chief technical officer de PGP Corporation. « Cela n’affecte pas les versions 9.0.x ou les autres versions précédentes. »

Traduction d’un article de Vnunet.com en date du 26 janvier 2007