Home > Notícias

Falha de segurança é encontrada no programa de criptografia GPG

Software de código aberto GnuPG, para criptografia, traz vulnerabilidade que permite ataque por meio de assinatura de e-mail

14/03/2006 às 11h35

Foto:

Desenvolvedores do software de criptografia de código aberto GnuPG reportaram uma falha de segurança no programa que pode permitir a um hacker enviar código malicioso disfarçado na assinatura de um e-mail.

O GnuPG – ou Gnu Privacy Guard – é uma versão de código aberto do programa de criptografia PGP, usado para criptografar dados e criar assinaturas digitais.

O software é embarcado em diversas versões do Linux, incluindo FreeBSD, é também é amplamente usado pela indústria de segurança.

A vulnerabilidade permite ao autor do ataque pegar uma mensagem codificada e adicionar códigos maliciosos, que aparecem como parte do contéudo digitalmente asinado.

“Alguém capaz de interceptor a mensagem quando ela é transmitida pode injetar outros dados, e a pessoa que verificar a assinatura receberá a mensagem de que ela é válida e não-alterada”, disse Thomas Kristensen, chief technology officer (CEO) da especialista em segurança Secunia.

“Este é um dos principais propósitos do programa, portanto é bastante relevante”, ele acrescentou.
O autor do ataque poderia potencialmente alterar um arquivo de texto, como um contato de negócios, ou um adicionar arquivo executável à mensagem, disse ele. A Secunia avaliou a falha como “moderadamente crítica”.

Ela afeta todas as versões do GnuPG anteriores a 1.4.2.2, e os usuários são aconselhados a baixar imediatamente a atualização.

Mais informações estão disponíveis no site do GnuPG.

O time do GnuPG descobriu a falha durantes os testes da correção para um outra vulnerabilidade reportada no último mês, que poderia levar a falsas identificações positivas de assinaturas e-mails.

Atualizar o software para a versão 1.4.2.2 também é uma solução para o problema, disse o grupo.
O GPG é “amplamente utilizado entre certas comunidades”, embora a maioria das pessoas provavelmente use as funções de criptografia do Microsoft Windows, pondera Kristensen.

*James Niccolai é editor do IDG News Service, em Paris.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail