受影响的系统: PGP Desktop Security 7.0
描述:
PGP Desktop Security 7.0 是一套密码软件。它可以生成一种被称为 split-key 的密钥。这种密钥被分成若干份,若干拥有者人手一份。当要使用这把密钥进行加密或解密时,必须所有拥者都提供自己所拥有的那一份,把所有这些份重新连接起来,然后才能进行。这种密钥通常用来保护那些需要所有相关人员(概念上)同时在场时才有访问许可的东西,任何单个人都不能单独访问。
可是在 PGP Desktop Security 7.0 中,如果任何缓存选项被激活,它就有一个漏洞。这个漏洞使得恶意用户可以用 split-key 来加密、解密、签名任何文件或邮件。问题的原因是,在某一次使用 split-key 时,各个份额的拥有者相互认证从而把各个份额连接起来。可是在此次连接操作时如果缓存选项被激活,各个拥有者的口令被缓存起来,在这之后恶意用户就可以随意使用 split-key 了。
建议:
建议您在使用时不要打开缓存选项。
厂商补丁:暂无
