Недостаток в механизме кодирования в WinZIP

Дата публикации:11.02.2003
Всего просмотров:1590
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная
Воздействие: Брут-форс атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: WinZip 8.x
WinZip 7.x
WinZip 6.x
WinZip 3.x
Описание: Недостаток в обнаружен в PKZIP механизме шифрования. Уязвимость позволяет нападать непосредственно на механизм шифрования, используя инженерный анализ (reversing enginiering) в WinZIP IBDL32.dll.

Уязвимость связанна с использованием слабого генератора случайных чисел. Как утверждает автор, можно расшифровать весь архив, зная небольшой фрагмент известного текста (36 байт). Сообщается, что файл, зашифрованный 19 символьным паролем, на PIII-500 удалось расшифровать менее чем за 2 часа.

Ссылки: Yet another plaintext attack to ZIP encryption scheme.