Unter Umständen verschickt das PGP-Plugin für Outlook Nachrichten im Klartext, obwohl der Benutzer eine Verschlüsselung verlangt.

Betroffene Systeme

• Systeme, die NAI PGP in Verbindung mit dem Outlook-Plugin nutzen.

Auswirkung
Möglicherweise werden sensitive Daten im Klartext übertragen.

Typ der Verwundbarkeit
Fehler bei der Fernsteuerung einer Anwendung

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das Outlook-Plugin, welches Bestandteil von NAI PGP ist, simuliert offenbar Maus- und Tastatureingaben, um die gewünschte Funktionalität (das automatische Verschlüsseln des eingegebenen Textes) zu implementieren. Falls der Benutzer während der Verschlüsselung Tasten drückt oder die Maus bewegt, wird möglicherweise der zu verschlüsselnde Text vor dem Versenden nicht durch die verschlüsselte Fassung ersetzt.

Offenbar wird das Risiko einer Fehlfunktion erhöht, falls Zusatzprogramme installiert sind, die das Standardverhalten der Windows-GUI ändern (und z.B. das von X11 bekannte focus follows mouse implementieren).

Gegenmaßnahmen

• Umstieg auf PGP 7.1. Das Problem soll dort behoben sein.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/