Cybersec NewsУязивмости, експлойти, ъпдейти

EFAIL уязвимостите позволяват източването на криптирана информация от вашите мейли

Уязвимостите могат да разкрият съдържанието на криптираната ви кореспонденция чрез две различни атаки. Могат да бъдат разглеждани дори и съобщения, изпратени в миналото.

Последен ъпдейт на 28 юни 2018 в 11:54 ч.

Експлойтът, именуван „EFAIL” използва два различни вектора за атака. И двата експлоатират начинът, по който различни типове софтуер обработват HTML. Първият се цели в софтуерното реализиране на криптирането, а вторият – в неописано поведение в OpenPGP и S/MIME стандартите.

Сред най-силно засегнатите приложения са AppleMail, iOS Mail и Mozilla Thunderbird.

Това ни съобщава професорът по компютърна сигурност Себастиан Шинцел, който откри и публикува уязвимостта. Всички детайли, които са достъпни до момента, както и цялостно техническо обяснение на слабите точки на MIME, S/MIME и OpenPGP стандартите можете да намерите на efail.de.

За краткосрочно предотвратяване на EFAIL атаки може да използвате следните насоки:

  • Не декриптирайте директно в мейл приложението – премахнете S/MIME или PGP ключовете си от мейл приложението и декриптирайте във външно такова като копирате и поставите кодирания текст. Към момента това е най-безопасния начин за предотвратяване.
  • Изключете визуализирането на HTML съдържание – най-често използвания вектор за атака при EFAIL е експлоатирането на активно съдържание. Забраняването му ще ви помогне да си осигурите по-високо ниво на защита, но не ви гарантира безопасност, тъй като има и други канали за използването на експлойта.

За защита в дългосрочен план е нужно производителите на софтуер да патчнат тези уязвимости. Откриването на уязвимостите показва и нужда от обновяване на OpenPGP и S/MIME стандартите, но това няма как да се случи в кратък срок.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Покажи още

26 коментара

Вашият коментар

Вашият имейл адрес няма да бъде публикуван.

Back to top button