Nieuwste WinZip bevat beveiligingslek
Gecodeerde bestanden kunnen ontoegankelijk worden
Winzip is sinds jaar en dag een van de populairste inpakprogramma's. Het programma heeft in de loop der jaren een trouwe aanhang weten te veroveren.
De nieuwste versie, nummertje 9, bevat een mogelijkheid om ingepakte bestanden te beveiligen met de als zeer veilig bekend staande Advanced Encryption Standard (AES). Beveiligingsexperts hebben deze AES in Winzip aan een nader onderzoek onderworpen en zijn tot de conclusie gekomen dat de door Winzip gebruikte AES een paar lekken bevat.
In een document (PDF-formaat) beschrijven de experts een aantal mogelijkheden waardoor met AES gecodeerde bestanden gemanipuleerd kunnen worden. Een van de grootste problemen is dat Winzip de zogenaamde metagegevens zoals de naam van het originele bestand, de bestandsgrootte en de gebruikte coderingsmethode niet door Winzip-AES geauthentificeerd worden.
Wie stoute dingen van plan is, kan deze metagegevens van een met AES gecodeerd bestand vervalsen zonder hierbij sporen achter te laten. Een gevolg hiervan kan zijn dat de oorspronkelijke bezitter van zo'n gecodeerd bestand dit niet meer kan openen ofschoon hij toch beschikt over de originele sleutels.
Relevante lynx
• Winzip
• PDF-document over lekken Winzip
Bron: breekpunt.nl
Gecodeerde bestanden kunnen ontoegankelijk worden
Winzip is sinds jaar en dag een van de populairste inpakprogramma's. Het programma heeft in de loop der jaren een trouwe aanhang weten te veroveren.
De nieuwste versie, nummertje 9, bevat een mogelijkheid om ingepakte bestanden te beveiligen met de als zeer veilig bekend staande Advanced Encryption Standard (AES). Beveiligingsexperts hebben deze AES in Winzip aan een nader onderzoek onderworpen en zijn tot de conclusie gekomen dat de door Winzip gebruikte AES een paar lekken bevat.
In een document (PDF-formaat) beschrijven de experts een aantal mogelijkheden waardoor met AES gecodeerde bestanden gemanipuleerd kunnen worden. Een van de grootste problemen is dat Winzip de zogenaamde metagegevens zoals de naam van het originele bestand, de bestandsgrootte en de gebruikte coderingsmethode niet door Winzip-AES geauthentificeerd worden.
Wie stoute dingen van plan is, kan deze metagegevens van een met AES gecodeerd bestand vervalsen zonder hierbij sporen achter te laten. Een gevolg hiervan kan zijn dat de oorspronkelijke bezitter van zo'n gecodeerd bestand dit niet meer kan openen ofschoon hij toch beschikt over de originele sleutels.
Relevante lynx
• Winzip
• PDF-document over lekken Winzip
Bron: breekpunt.nl
