オープンソースの暗号化ソフト「GNU Privacy Guard」に脆弱性 - (page 2)

　GnuPGは暗号化技術「Pretty Good Privacy」に代わる無償のオープンソースソフトウェア。複数のセクションから成り立つ電子メールのすべてに署名や暗号化が施されているわけではなくても、電子メールプログラムがこれを正しく解釈せず、メッセージの100％が安全だと判定してしまうことがある。

　SANS Internet Storm CenterのスタッフArrigo Triulzi氏は同組織のブログに、「メッセージ全体が暗号化され、署名が付いていることを示すアイコンが表示されているのに、実際にはテキスト、画像、バイナリなどの一部の内容が安全でない場合がある」と書いている。

　GnuPGグループでは、署名付きあるいは暗号化されたメッセージの悪用を防ぐアップデートを公開した。だが、署名付きメッセージを正しく表示するには、GPGをアップデートした上で、電子メールアプリケーションもアップグレードされなくてはならないという。

　GnuPGの警告には、「これらのパッチを適用すると、脆弱性をもつ一部のアプリケーションで特定のメッセージを処理できなくなる場合がある。そのような場合、GnuPGとしては何もできないのだが、そのアプリケーションに修正を加える必要がある」と書かれている。

　Enigmailは既にアップデートを提供し始めている。

　Coreはさらに、ユーザーが悪用を検知し、防ぐための回避策も公開した。不審な署名付きメッセージがあった場合は、コマンドラインからGnuPGを起動して手動で署名の有効性を確認できるほか、「--status-fd」という特殊なオプションを追加すれば詳細な情報も得られると、Coreは述べている。