Een Russische beveiligingsonderzoeker heeft twee onbekende beveiligingslekken in Symantec PGP Desktop geopenbaard, maar volgens het beveiligingsbedrijf hoeven gebruikers zich geen zorgen te maken. PGP Desktop is een programma waarmee gebruikers hun computer volledig kunnen versleutelen, vergelijkbaar met TrueCrypt, alleen gaat het in dit geval om betaalde software.

Op 25 december plaatste Nikita Tarakanov op Pastebin.com een zero-day kwetsbaarheid in Symantec PGP Desktop waardoor een aanvaller willekeurige code in de kernel kan uitvoeren. Om de aanval uit te voeren moet een aanvaller wel lokale toegang tot een kwetsbare computer hebben.

Zero-day
De kwetsbaarheid is aanwezig in de meest recente versie, Symantec PGP Desktop 10.2.0 Build 2599. Symantec laat in een verklaring weten dat het inderdaad om een beveiligingslek gaat. "Maar het is geen grote reden tot zorgen, aangezien de sterren in de juiste positie moeten zijn om dit te misbruiken. Er is een potentieel probleem, maar het is niet eenvoudig te misbruiken", aldus Kelvin Kwan.

Het op 25 december geopenbaarde lek zou alleen op Windows XP en Windows 2003 aanwezig zijn. Om de kwetsbaarheid te veroorzaken moet een aanvaller al op het systeem zijn ingelogd. Het zou echter lastig zijn om de exploit te veroorzaken. Symantec gaat het lek in een 'maintenance pack' verhelpen, dat begin februari moet verschijnen.

Reactie
Tarakanov was niet te spreken over de reactie van Symantec en publiceerde gisteren een nieuwe zero-day exploit in PGP Desktop die alle Windows-versie treft. Wederom moet een aanvaller lokale toegang hebben.

"Dit soort kwetsbaarheden laat zien dat er geen kwaliteitscontrole bij Symantec is", laat de Russische onderzoeker via Twitter weten. De hacker wijst ook naar meldingen van een andere onderzoeker. Die zou dezelfde problemen al in 2008 hebben ontdekt.