Un error en la visualización del interfaz gráfico de PGP puede
provocar que llaves falsas aparezcan como firmadas y como totalmente
válidas.
Se ha descubierto una vulnerabilidad en la visualización de la validez
de las claves en PGP que puede ser empleada por un atacante para engañar
a los usuarios haciéndoles creer que se ha creado una firma válida. Si
el atacante puede obtener una firma de su clave de una tercera parte
confiable, puede entonces añadir un segundo ID de usuario sin firmar
a su llave. El atacante deberá cambiar el falso identificador sin
firmar como primario y convencer a la víctima para situar la llave
en su anillo de llaves.
En este caso algunas visualizaciones en PGP no identifican de forma
adecuada el falso usuario mostrándolo como válido. Siempre que PGP
muestre la información de validez de forma individual de cada usuario
en concreto, la información es correcta. De esta forma, si el usuario
examina los identificadores de usuario para todas las llaves públicas
que importe en sus anillos advertirá de forma inmediata el problema.
Este error ha sido corregido para que PGP muestre los identificadores
sin firmar como no válidos. Se encuentran disponibles actualizaciones
para los siguientes productos:
PGP Corporate Desktop v7.1 (Win32)
PGP Personal Security v7.0.3 (Win32)
PGP Freeware v7.0.3 (Win32)
PGP E-Business Server v7.1 (Solaris/HPUX/Win32)
PGP E-Business Server v7.0.4 (Solaris/HPUX/Win32)
Todas las actualizaciones pueden descargarse de la dirección:
http://www.pgp.com/naicommon/download/upgrade/upgrades-patch.asp
antonior@hispasec.com
Más información:
PGP.com:
http://www.pgp.com/support/product-advisories/pgpsdk.asp
Deja una respuesta