JVNVU#300785
PGP Desktop にデータインジェクションの脆弱性

PGP Desktop 10.1.0 と PGP Desktop 10.0.3 およびそれ以前には、データインジェクションの脆弱性が存在します。
なお、PGP Command Line 9.6 およびそれ以降のバージョンについては、この脆弱性は存在しません。

• PGP Desktop 10.0.3 およびそれ以前
• PGP Desktop 10.1.0

PGP Desktop のユーザインターフェースでは、正規に署名されたデータに署名されていないデータを混入させたメッセージに対して、メッセージ全体が署名されていると誤って表示される問題が存在します。この場合、ユーザは細工された署名されていないデータと署名されている正規データを識別することができません。

詳しくは、ベンダが提供する情報 KnowledgeBase article 2290 と Security Advisory SYM10-012 、および本脆弱性の報告者 Eric R. Verheul's の情報 Pretty Good Piggy-backing をご確認ください。

攻撃者によって細工されたメッセージが、あたかも PGP 署名された正規メッセージとして受け取られる可能性があります。

アップデートする
ベンダが提供する情報をもとに、PGP Desktop 10.0.3 SP2 もしくは 10.1.0 SP1 にアップデートしてください。

ワークアラウンドを実施する
ベンダから、以下の回避策が推奨されています。

”If you use PGP Desktop for Windows, do not use the Decrypt & Verify shortcut menu available when you right-click an OpenPGP message file. Instead, launch PGP Desktop, select File->Open, browse to the file name, and open the file. Alternately, double-click the file icon to have it opened in PGP Desktop automatically.”