发布日期：2010-11-17
更新日期：2010-11-23

受影响系统：

Symantec PGP Desktop OpenPGP 9.8.3
Symantec PGP Desktop OpenPGP 10.1
Symantec PGP Desktop OpenPGP 10.0.3 SP1
Symantec PGP Desktop OpenPGP 10.0.3

不受影响系统：

Symantec PGP Desktop OpenPGP 10.1.0 SP1
Symantec PGP Desktop OpenPGP 10.0.3 SP1

描述：

---

BUGTRAQ  ID: 44920
CVE ID: CVE-2010-3618

PGP Desktop是一款强大的加密软件，具备文件、文件夹、邮件、即时通讯等加密功能。

PGP Desktop 10.0.3版及较早版本及将要发布的10.1版易受“piggy-back”攻击，攻击者可能利用此漏洞在签名的信息中插入数据。

在这种攻击中，会将未签名的（不安全的）数据插入到签名受信任源的OpenPGP消息中。在解密和验证消息时，PGP Desktop可能错误地将它识别为完全有效。

<*来源：Eric Verheul、Digital安全小组、Radbound University Nijmengen
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

要远程利用此漏洞，攻击者可以使用可用的网络实用程序，需要本地交互式访问受影响的电脑以本地利用此漏洞。

建议：

---

厂商补丁：

Symantec
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请升级软件到10.0.3SP2或者10.1.0 SP1，请到厂商的网站下载：

http://www.symantec.com/

浏览次数：3331
严重程度：0（网友投票）