Foundstone đánh giá lỗi này rất nghiêm trọng vì hiện có nhiều công ty, cơ quan chính phủ và đơn vị quân đội sử dụng PGP để bảo mật thông tin. Nhà sản xuất phần mềm Network Associates, chủ sở hữu của PGP trước kia, đã đưa bản sửa lỗi lên website của mình.
Lỗ hổng bảo mật xuất hiện khi PGP (phiên bản PGP Corporate Edition 7.1.0 và 7.1.1) mã hoá hoặc giải mã các file có tên dài hơn 200 ký tự. Bộ nhớ đệm bị tràn khi chương trình giải mã những file này.
"Người nhận e-mail không dễ dàng nhận biết vì nó giống như một file nén đuôi zip. Người ta có thể đặt tên tệp tin với 8 ký tự nhưng lại nén trong đó vài file khác với tên dài", Tổng giám đốc điều hành của Foundstone, George Kurtz, nói.
Hacker không những có thể lừa người gửi e-mail mã hoá bằng PGP giải mã chính tin nhắn của mình mà còn kiểm soát được máy tính của khổ chủ. Lỗi này rất giống lỗi của phần bổ trợ PGP trong Outlook phát hiện đầu tháng 7 vừa qua.
Minh Long (theo CNET)