588253
14.05.2018 группа исследователей из Мюнстерского университета прикладных наук, Рурского университета в Бохуме (Германия) и Лёвенского университета (Бельгия) сообщила об обнаружении уязвимостей в стандартах шифрования электронной почты OpenPGP и S/MIME, позволяющих злоумышленнику получить доступ к тексту зашифрованных писем.
Уязвимости (CVE-2017-17688 для OpenPGP и CVE-2017-17689 для S/MIME) получили название «eFail». Для реализации атаки злоумышленник должен сначала получить доступ к зашифрованным сообщениям жертвы, например, посредством перехвата сетевого трафика, компрометации учетной записи почты, доступа к почтовому серверу или к системе резервного копирования. Затем злоумышленник модифицирует перехваченное зашифрованное сообщение путем добавления внешнего HTML-контента (ссылки на изображение или HTML-стили) и перенаправляет его жертве. Почтовый клиент жертвы расшифровывает модифицированное сообщение и пытается загрузить внешний контент, подставляя к заданной злоумышленником ссылке текст расшифрованного сообщения. Таким образом злоумышленник получает доступ к расшифрованному тексту.
Эксперты приводят следующие рекомендации по минимизации угрозы, связанной с эксплуатацией указанных уязвимостей:
- расшифровывать почту в отдельном приложении за пределами почтового клиента;
- отключить отображение входящих HTML-сообщений в почтовом клиенте (HTML-рендеринг);
- отключить загрузку удаленного контента;
- обновить версии почтовых клиентов.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
