OpenPGP ja S/MIME sähköpostiasiakasohjelmistoissa haavoittuvuuksia
Haavoittuvuus11/2018
Tietoturvatutkijat ovat löytäneet haavoittuvuuksia useiden sähköpostiasiakasohjelmien tavasta käsitellä PGP ja S/MIME -salattuja sähköpostiviestejä. Löydetyt haavoittuvuudet voivat mahdollistaa salatun viestin muotoilun siten, että salausta purettaessa sähköpostiasiakasohjelma vuotaa salattua sisältöä hyökkääjälle. Haavoittuvuuden hyväksikäyttöä voi rajoittaa yksinkertaisesti poistamalla HTML-sisällön näyttämisen käytöstä ja estämällä sisällön automaattisen haun verkosta.
Useista sähköpostiasiakasohjelmistoista on löytynyt haavoittuvuuksia tavasta, jolla ne käsittelevät PGP ja S/MIME -salattuja sähköpostiviestejä. Haavoittuvuuden hyväksikäyttö voi mahdollistaa salatun viestin sisällön vuotamisen hyökkäjäälle. Löytyneet haavoittuvuudet eivät liity PGP tai S/MIME -salauksiin, vaan sähköpostiasiakasohjelmistojen tapaan käsitellä salattuja viestejä.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Paikallisesti
- Ilman kirjautumista
Vaikutukset
- Luottamuksellisen tiedon hankkiminen
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
PGP:tä käyttävät ohjelmistot:
- Apple Mail
- iOS Mail
- Roundcube / Enigmail
- Thunderbird / Enigmail
- Outlook 2007 / GPG4Win
S/MIME:ä käyttävät ohjelmistot:
- Outlook 2007 - 2016
- Thunderbird
- Apple Mail
- IBM Notes
- GMail
- KMail
Mistä on kysymys?
Osa haavoittuvista sähköpostiasiakasohjelmistoista on jo julkaissut tai tulee julkaisemaan korjaukset haavoittuvuuteen. Jos haavoituvuuteen ei julkaista korjausta, niin hyväksikäyttöä voi rajoittaa:
- Poistamalla HTML-sisällön näyttämisen käytöstä sähköpostiasiakasohjelmistossa
- Estämällä sähköpostiasiakasohjelmistoa hakemasta automaattisesti sisältöä verkosta
- Purkamalla salauksen jollain muulla työkalulla kuin haavoittuvalla sähköpostiasiakasohjelmistolla
Mitä voin tehdä?
Alkuperäinen tiedote julkaistu 16.5.2018