Luka we wtyczce PGP dla OE
Wtyczka PGP dla Outlook Express może wysyłac niezaszyfrowane informacje!
Błąd dotyczy Windows 2000 (i najprawdopodobniej innych wersji także) oraz PGP freeware 7.0.3
Kiedy użytkownik klika przycisk „Wyślij”, wtyczka PGP pobiera tekst z aktywnego okna, przetwarza go, a następnie zaszyfrowany tekst przesyła do aktywnego okna, gdzie jest nim zastępowany oryginalny ciąg znaków.
Problem pojawia się, gdy w momencie przesyłania zaszyfrowanych danych aktywne jest inne okno, niż to z OE, dla którego dane te są przeznaczone. W rezultacie Outlook wysyła e-mail w postaci niezaszyfrowanej, a wtyczka PGP nie zgłasza żadnego błędu, gdyż w istocie on nie nastąpił.
Zdalny atak wymierzony w tę lukę polega na wykreowaniu wymienionej wcześniej sytuacji, tzn. sprawieniu, aby w momencie szyfrowania aktywne było okno nie należące do OE (np. poprzez wysłanie w tym czasie do ofiary wiadomości ICQ).
Szacuje się, że luka jest stosunkowo łatwa do usunięcia.