NVD Vulnerability Detail
Search Exploit, PoC
CVE-2010-3618
Summary

PGP Desktop 10.0.x before 10.0.3 SP2 and 10.1.0 before 10.1.0 SP1 does not properly implement the "Decrypt/Verify File via Right-Click" functionality for multi-packet OpenPGP messages that represent multi-message input, which allows remote attackers to spoof signed data by concatenating an additional message to the end of a legitimately signed message, related to a "piggy-back" or "unsigned data injection" issue.

Publication Date Nov. 22, 2010, 10 p.m.
Registration Date Jan. 29, 2021, 11:06 a.m.
Last Update Nov. 21, 2024, 10:19 a.m.
CVSS2.0 : MEDIUM
Score 4.3
Vector AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C) なし
完全性への影響(I)
可用性への影響(A) なし
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required はい
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:pgp:desktop_for_windows:10.0.1:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_windows:10.0.2:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_windows:10.1.0:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_windows:10.0.3:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_windows:10.0.0:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_windows:*:sp1:*:*:*:*:*:* 10.0.3
Configuration2 or higher or less more than less than
cpe:2.3:a:pgp:desktop_for_mac:10.1.0:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_mac:10.0.2:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_mac:10.0.1:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_mac:*:sp1:*:*:*:*:*:* 10.0.3
cpe:2.3:a:pgp:desktop_for_mac:10.0.0:*:*:*:*:*:*:*
cpe:2.3:a:pgp:desktop_for_mac:10.0.3:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
PGP Desktop にデータインジェクションの脆弱性
Title PGP Desktop にデータインジェクションの脆弱性
Summary

PGP Desktop 10.1.0 と PGP Desktop 10.0.3 およびそれ以前には、データインジェクションの脆弱性が存在します。なお、PGP Command Line 9.6 およびそれ以降のバージョンについては、この脆弱性は存在しません。 PGP Desktop のユーザインターフェースでは、正規に署名されたデータに署名されていないデータを混入させたメッセージに対して、メッセージ全体が署名されていると誤って表示される問題が存在します。この場合、ユーザは細工された署名されていないデータと署名されている正規データを識別することができません。

Possible impacts 攻撃者によって細工されたメッセージが、あたかも PGP 署名された正規メッセージとして受け取られる可能性があります。
Solution

[アップデートする] ベンダが提供する情報をもとに、PGP Desktop 10.0.3 SP2 もしくは 10.1.0 SP1 にアップデートしてください。 [ワークアラウンドを実施する] ベンダから、以下の回避策が推奨されています。 ”If you use PGP Desktop for Windows, do not use the Decrypt & Verify shortcut menu available when you right-click an OpenPGP message file. Instead, launch PGP Desktop, select File→Open, browse to the file name, and open the file. Alternately, double-click the file icon to have it opened in PGP Desktop automatically.”
Publication Date Nov. 19, 2010, midnight
Registration Date Dec. 20, 2010, 2:44 p.m.
Last Update Dec. 20, 2010, 2:44 p.m.
Affected System
シマンテック
Symantec PGP Desktop 10.0.3 およびそれ以前
Symantec PGP Desktop 10.1.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2010年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.