Vigil@nce - Symantec Encryption Desktop : déni de service via des courriers chiffrées compressés
septembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer un message spécial compressé à un
utilisateur de Symantec Encryption Desktop, afin de mener un déni
de service.
Produits concernés : Symantec Encryption Desktop
Gravité : 2/4
Date création : 22/08/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Symantec Encryption Desktop permet de chiffrer des
courriers électroniques.
Les messages chiffrés sont souvent compressés avant d’être
chiffrés. On ne peut pas prédire la taille du résultat de la
décompression à l’avance. Cependant, Symantec Encryption Desktop
ne fixe pas de limite à la taille des données produites par la
décompression. Un attaquant peut donc construire un message dont
le traitement consommera une grande quantité de mémoire, de temps
processeur et éventuellement d’espace disque.
Un attaquant peut donc envoyer un message spécial compressé à un
utilisateur de Symantec Encryption Desktop, afin de mener un déni
de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET