EFAIL sérülékenység

CH azonosító

CH-14429

Angol cím

EFAIL vulnerability

Felfedezés dátuma

2018.05.13.

Súlyosság

Magas

Érintett rendszerek

Microsoft
Mozilla
Outlook
Thunderbird

Érintett verziók

Outlook
Win. 10 Mail
The Bat!
Postbox
eM Client
IBM Notes
Thunderbird
Evolution
Trojita
KMail
Apple Mail
MailMate
Airmail
iOS Mail App
R2Mail2
MailDroid
Nine
GMail
Roundcube
Horde IMP

Összefoglaló

A OpenPGP és S/MIME titkosítások sérülékenységét fedezték fel, melyet kihasználva a támadó megismerheti a titkosított üzenetek tartalmát.

Leírás

A sérülékenységet publikáló szervezet szerint az EFAIL támadás az OpenPGP és S/MIME szabványok hiányosságait használja ki. A sérülékenység kihasználásához a támadónak hozzáférést kell szereznie  a titkosított e-mail üzenetekhez (pl: hálózat, e-mail fiók, mentési rendszerek vagy kliens számítógépek utján), melyek esetén lényeges szempont, hogy a régebben begyűjtött üzenetek is veszélyben lehetnek.

A hozzáférést megszerezve a támadó megváltoztatja a titkosított üzenetet, melyet elküld az áldozatnak. A kliens megnyitva az üzenetet, automatikusan visszafejti annak tartalmát, valamint betölti a HTML-ben megírt üzenet rosszindulatú, külső tartalmait, ezzel “kijuttatva” az szöveg eredeti plaintext változatát a támadó részére.

Megoldás

Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se

Megoldás

  • Az e-mail üzeneteket a kliens helyett egy szeparált alkalmazáson belül fejtse vissza.
  • Tiltsa le HTML renderelést, így megakadályozhatja hogy a kliens külső HTML tartalmat töltsön be.
  • Telepítse a jövőben érkező gyártói javításokat.
  • Telepítse az OpenPGP és S/MIME szabványokhoz tartozó jövőbeni frissítéseket