EFAIL 攻擊: OpenPGP 及 S/MIME 漏洞導致加密電子郵件的明文洩漏 |
週三, 16 五月 2018 15:00 |
漏洞及攻擊描述: OpenPGP (Pretty Good Privacy) 及 S/MIME (Secure/Multipurpose Internet Mail Extensions) 皆為用來進行電子郵件數位簽章、加密及解密的標準。EFAIL 攻擊係利用 OpenPGP 及 S/MIME 標準之電子郵件客戶端存在的漏洞獲取加密電子郵件的明文。當電子郵件客戶端設定為自動解密收到的電子郵件內容及自動載入外部資料,攻擊者可利用此機制,藉由寄送修改的相同加密電子郵件內容給受害者來竊取明文信息。
CVE編號: CVE-2017-17688: OpenPGP CFB 攻擊 CVE-2017-17689: S/MIME CBC 攻擊
受影響系統: 支援 OpenPGP 或 S/MIME 標準的電子郵件客戶端都可能受到 EFAIL 攻擊。詳細漏洞解析及受影響的電子郵件客戶端可參考以下論文(https://efail.de/efail-attack-paper.pdf)。
防範措施: 使用者建議依照以下方式降低受到 EFAIL 攻擊的風險: ‧使用電子郵件客戶端以外的應用程序解密 S/MIME 或 PGP 加密的電子郵件 ‧停用 HTML 算繪 (HTML rendering) ‧停用遠程內容載入(Remote Content Loading) ‧安裝電子郵件客戶端供應商所提供的補丁
參考資料: https://efail.de/ https://efail.de/efail-attack-paper.pdf https://www.kb.cert.org/vuls/id/122919
|