PGP heeft een patch uitgebracht voor een ernstig lek in PGP Desktop, waardoor aanvallers versleutelde berichten konden manipuleren, zonder dat het slachtoffer dit door zou hebben. Dat demonstreerde beveiligingsonderzoeker Eric Verheul tijdens het Govcert Symposium in Rotterdam. Verheul liet zien hoe een aanvaller kwaadaardige PGP-berichten, bijvoorbeeld malware, aan bestaande en gesigneerde PGP-berichten kan toevoegen. PGP Desktop zou in dit geval de ontvanger niet waarschuwen, maar nog steeds aangeven dat het gemanipuleerde bestand ondertekend is en vervolgens zowel het originele als toegevoegde bericht of bestand ontsleutelen.

Software moet volgens Verheul voorzichtig omgaan met het verwerken van OpenPGP-berichten, met name die tot meer dan één output bericht leiden. "Als een applicatie dit soort meerdere berichten wil ondersteunen, zou het op z'n minst de status van elk bericht aan de gebruiker moeten duidelijk maken, om zo de gesigneerde van de niet-gesigneerde berichten te onderscheiden."

Verder waarschuwt de onderzoeker voor een "verborgen kanaal" in verschillende pakketten van de OpenPGP specificatie, waardoor het mogelijk is om content aan OpenPGP-berichten toe te voegen. Iets waar programma's die OpenPGP verwerken de gebruiken voor zouden moeten waarschuwen.

Beschamend
Wat betreft zijn ontdekking is Verheul duidelijk: "Dit is een nogal beschamende kwetsbaarheid in PGP Desktop software die al meer dan 10 jaar 'open source' is", zo laat hij tegenover Security.nl weten. Hij merkt op dat de PGP Corporation gisteren een update voor PGP Desktop Versie 10 heeft uitgebracht, maar dat eerdere versies zoals 8 en 9, alleen worden gepatcht als de gebruiker daar bij het bedrijf om vraagt.