EFAIL sérülékenység
Angol cím: 
EFAIL vulnerability
CERT-Hungary ID: 
CH-14429
Felfedezés dátuma: 
2018-05-14
Összefoglaló: 

A OpenPGP és S/MIME titkosítások sérülékenységét fedezték fel, melyet kihasználva a támadó megismerheti a titkosított üzenetek tartalmát.

Leírás: 

A sérülékenységet publikáló szervezet szerint az EFAIL támadás az OpenPGP és S/MIME szabványok hiányosságait használja ki. A sérülékenység kihasználásához a támadónak hozzáférést kell szereznie  a titkosított e-mail üzenetekhez (pl: hálózat, e-mail fiók, mentési rendszerek vagy kliens számítógépek utján), melyek esetén lényeges szempont, hogy a régebben begyűjtött üzenetek is veszélyben lehetnek.

A hozzáférést megszerezve a támadó megváltoztatja a titkosított üzenetet, melyet elküld az áldozatnak. A kliens megnyitva az üzenetet, automatikusan visszafejti annak tartalmát, valamint betölti a HTML-ben megírt üzenet rosszindulatú, külső tartalmait, ezzel "kijuttatva" az szöveg eredeti plaintext változatát a támadó részére.

Megoldás: 
Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
Megoldás: 
  • Az e-mail üzeneteket a kliens helyett egy szeparált alkalmazáson belül fejtse vissza.
  • Tiltsa le HTML renderelést, így megakadályozhatja hogy a kliens külső HTML tartalmat töltsön be.
  • Telepítse a jövőben érkező gyártói javításokat.
  • Telepítse az OpenPGP és S/MIME szabványokhoz tartozó jövőbeni frissítéseket
Érintett verziók: 
Outlook
Win. 10 Mail
The Bat!
Postbox
eM Client
IBM Notes
Thunderbird
Evolution
Trojita
KMail
Apple Mail
MailMate
Airmail
iOS Mail App
R2Mail2
MailDroid
Nine
GMail
Roundcube
Horde IMP