Hlavní navigace

EFAIL kritická zranitelnost OpenPGP a S/MIME umožňuje útočníkovi rozšifrovat e-maily

Jan Fikar

Výzkumníci z universit v Münsteru, Ruhru a Leuvenu objevili kritickou zranitelnost OpenPGP a S/MIME, která umožňuje útočníkovi rozšifrovat e-maily, i ty dávno poslané. Chyba byla nazvaná EFAIL a má i svoji stránku. Detaily měly být zveřejněny až zítra, ale už jsou přístupné, protože informace začaly prosakovat.

Útočník musí nejprve získat šifrovaný e-mail, třeba posloucháním síťového provozu nebo nabouráním se do e-mailové schránky. Tyto šifrované e-maily mohly být posbírány již před lety. Útočník pak pozmění obsah e-mailu například přidáním externího stylu nebo obrázku. Pozměněný e-mail je poslán oběti, klient oběti e-mail automaticky rozšifruje a předá rozšifrovaný obsah útočníkovi.

Zatím není známá žádná oprava. Doporučuje se zakázat rozšifrovávání v klientovi a zakázat HTML.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?