Roma – Pretty Good Privacy (PGP), il più diffuso software crittografico dedicato alla privacy della posta elettronica, si è risvegliato con un grosso buco che può consentire ad un cracker di prendere il controllo del computer dell’utente vittima. La portata della falla è notevole a causa del fatto che PGP è largamente utilizzato non solo dagli utenti privati, ma anche da aziende ed enti pubblici.
La vulnerabilità, scoperta dalla nota società di sicurezza Eye Digital Security, consiste in un bug contenuto nel plug-in per Outlook di PGP, lo stesso che facilita l’accesso alle funzionalità di codifica e decodifica delle e-mail dall’interno del client di Microsoft. Nell’ avviso di sicurezza di Eye si spiega che la falla può essere sfruttata da malintenzionati attraverso una e-mail manipolata in un certo modo: questo dà all’aggressore la possibilità di seguire sul sistema della vittima del codice a sua scelta.
Perché l’attacco riesca basta che l’utente semplicemente selezioni la e-mail malevola: la sua apertura o il lancio di allegati non sono necessari. Se l’attacco ha successo, il codice incluso dall’aggressore nella e-mail viene eseguito con gli stessi privilegi dell’utente locale: questo mette a repentaglio la sicurezza dei messaggi criptati e dell’intero sistema. Ad aggravare la cosa, secondo gli esperti di Eye, vi è il fatto che gli attacchi, grazie alla natura del protocollo SMTP, possono essere portati in modo del tutto anonimo.
La falla interessa le versioni Desktop Security 7.0.4, Personal Security 7.0.3 e Freeware 7.0.3 di PGP. Network Associates ( NAI ), che fino allo scorso marzo distribuiva sia la versione commerciale che quella freeware di PGP, ha rilasciato le relative patch qui . Secondo quanto ha fatto sapere Eye, il problema non riguarda il plug-in di Outlook Express.
Recentemente NAI, a causa degli scarsi ritorni di profitto, ha abbandonato lo sviluppo e la distribuzione di tutte le versioni di PGP.