オープンソースの暗号化ソフト「GNU Privacy Guard」に脆弱性 - (page 2)

文:Joris Evers(CNET News.com) 翻訳校正:編集部2007年03月08日 11時09分

 GnuPGは暗号化技術「Pretty Good Privacy」に代わる無償のオープンソースソフトウェア。複数のセクションから成り立つ電子メールのすべてに署名や暗号化が施されているわけではなくても、電子メールプログラムがこれを正しく解釈せず、メッセージの100%が安全だと判定してしまうことがある。

 SANS Internet Storm CenterのスタッフArrigo Triulzi氏は同組織のブログに、「メッセージ全体が暗号化され、署名が付いていることを示すアイコンが表示されているのに、実際にはテキスト、画像、バイナリなどの一部の内容が安全でない場合がある」と書いている。

 GnuPGグループでは、署名付きあるいは暗号化されたメッセージの悪用を防ぐアップデートを公開した。だが、署名付きメッセージを正しく表示するには、GPGをアップデートした上で、電子メールアプリケーションもアップグレードされなくてはならないという。

 GnuPGの警告には、「これらのパッチを適用すると、脆弱性をもつ一部のアプリケーションで特定のメッセージを処理できなくなる場合がある。そのような場合、GnuPGとしては何もできないのだが、そのアプリケーションに修正を加える必要がある」と書かれている。

 Enigmailは既にアップデートを提供し始めている。

 Coreはさらに、ユーザーが悪用を検知し、防ぐための回避策も公開した。不審な署名付きメッセージがあった場合は、コマンドラインからGnuPGを起動して手動で署名の有効性を確認できるほか、「--status-fd」という特殊なオプションを追加すれば詳細な情報も得られると、Coreは述べている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]