» »

Odkrita resna ranljivost v PGP in S/MIME šifriranju elektronske pošte - podrobnosti še niso znane

Odkrita resna ranljivost v PGP in S/MIME šifriranju elektronske pošte - podrobnosti še niso znane

Slo-Tech - SKupian evropskih raziskovalcev je na Twiterju objavila opozorilo, da so v šifriranju elektronske pošte PGP/GPG in S/MIME našli skupino resnih ranljivosti, ki lahko napadalcu razkrijejo vsebino preteklih (šifriranih) sporočil.

Podrobnosti sicer še niso znane, jih bodo pa objavili jutri ob 9:00 zjutraj po našem času. Raziskovalci so s podrobnostmi ranljivosti predhodno seznanili Electronic Frontier Foundation, ki je potrdila, da gre za resno grožnjo.

Kot prvi ukrep se priporoča onemogočanje samodejnega dešifriranja sporočil, torej onemogočanje dodatkov za PGP/GPG šifriranje v poštnih odjemalcih (npr. Enigmail v odjemalcu Thunderbird, GPGTools v Apple Mail, Gpg4win v Outlook).

O podrobnostih bomo še poročali.

DODATEK: avtorji so predčasno objavili opis ranljivosti. Na kratko, gre za dve metodi. Prva je tim. neposredno uhajanje (angl. direct exfiltration), kjer napadalec vsebino šifriranega sporočila ukrade s pomočjo HTML image značke, vstavljene v ustrezno pripravljeno sporočilo. Druga metoda pa je tim. napad s CBC/CFB pripomočkom (angl. CBC/CFB Gadget Attack). Gre za napad, ki izkorišča specifičnost delovanja CBC (Cipher Block Chaining) šifriranja. Predpostavka tega napada je sicer, da napadalec pozna vsaj en polni blok navadnega besedila, kar pa v danem primeru ni problem, saj se S/MIME šifrirana e-poštna sporočila običajno začnejo s "Content-type: multipart/signed".

Kot omenjeno, je kratkoročna rešitev onemogočanje šifriranja v poštnem odjemalcu in onemogočanje HTML izrisa, dolgoročna rešitev pa bo zahtevala namestitev ustreznih posodobitev (ko bodo na voljo) ter popravek OpenPGP in S/MIME standardov.

10 komentarjev

b3D_950 ::

The researchers note that, at present, you’ll want to remove your PGP and S/MIME private keys from your email client, and decrypt incoming encrypted emails by copying and pasting the ciphertext into a separate app to decrypt and read your messages; this prevents your email client from transmitting the plaintext contents of your encrypted messages back to the attacker. Additionally, disabling HTML rendering for incoming email messages should also help protect you from unknowingly sending this information from your email client.

Ideally, email client developers should release patches for their software to prevent this vulnerability from being exploited, and those who maintain the PGP and S/MIME standard should update them and lock out malicious actors.

https://thenextweb.com/security/2018/05...
< blendernation.com >

ender ::

There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

MrStein ::

Predčasno so objavili detajle: https://efail.de/
Teštiram če delaž - umlaut dela: ä ?

LightBit ::

Ni tako zelo resno.

Matthai ::

Kako, da ne. Napadalec prestreze sifriran mail, ga spakira v img tag, in mail plugin ga desifrira ter poslje na tvoj server z img zahtevkom. Meni se zdi kar resna rec.

Sicer zdaj pravijo, da zadostuje da v mail clientu onemogocis nalaganje oddaljenih vsebin.
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Še ni konec slabih novic za danes....

LightBit ::

Matthai je izjavil:

Kako, da ne.


Zato:

Matthai je izjavil:

Sicer zdaj pravijo, da zadostuje da v mail clientu onemogocis nalaganje oddaljenih vsebin.

In to je večinoma privzeto (oz. bi moralo biti).

Kakšna varnost je to, če se povezuješ na druge serverje?

win64 ::

SeMiNeSanja je izjavil:

Še ni konec slabih novic za danes....


Klasičen Phishing. Nič novega...

Redorange ::

MrStein ::

So kje (zbrane?) informacije, kateri softver je bil in kdaj patch-an?
Teštiram če delaž - umlaut dela: ä ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VPN server ?

Oddelek: Pomoč in nasveti
261272 (850) NeMeTko
»

gpg

Oddelek: Programska oprema
121071 (906) Matthai
»

Google Desktop Search in PGP

Oddelek: Novice / Zasebnost
322671 (2340) CaqKa
»

PGP

Oddelek: Operacijski sistemi
7692 (547) ill-Bogg
»

PGP zaščita zlomljena?

Oddelek: Loža
81288 (1146) Matthai

Več podobnih tem