OpenPGP ja S/MIME sähköpostiasiakasohjelmistoissa haavoittuvuuksia

Haavoittuvuus11/2018

Tietoturvatutkijat ovat löytäneet haavoittuvuuksia useiden sähköpostiasiakasohjelmien tavasta käsitellä PGP ja S/MIME -salattuja sähköpostiviestejä. Löydetyt haavoittuvuudet voivat mahdollistaa salatun viestin muotoilun siten, että salausta purettaessa sähköpostiasiakasohjelma vuotaa salattua sisältöä hyökkääjälle. Haavoittuvuuden hyväksikäyttöä voi rajoittaa yksinkertaisesti poistamalla HTML-sisällön näyttämisen käytöstä ja estämällä sisällön automaattisen haun verkosta.

Useista sähköpostiasiakasohjelmistoista on löytynyt haavoittuvuuksia tavasta, jolla ne käsittelevät PGP ja S/MIME -salattuja sähköpostiviestejä. Haavoittuvuuden hyväksikäyttö voi mahdollistaa salatun viestin sisällön vuotamisen hyökkäjäälle. Löytyneet haavoittuvuudet eivät liity PGP tai S/MIME -salauksiin, vaan sähköpostiasiakasohjelmistojen tapaan käsitellä salattuja viestejä.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Paikallisesti
  • Ilman kirjautumista

Vaikutukset

  • Luottamuksellisen tiedon hankkiminen

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

PGP:tä käyttävät ohjelmistot:

  • Apple Mail
  • iOS Mail
  • Roundcube / Enigmail
  • Thunderbird / Enigmail
  • Outlook 2007 / GPG4Win

S/MIME:ä käyttävät ohjelmistot:

  • Outlook 2007 - 2016
  • Thunderbird
  • Apple Mail
  • IBM Notes
  • GMail
  • KMail

Ratkaisu- ja rajoitusmahdollisuudet

Osa haavoittuvista sähköpostiasiakasohjelmistoista on jo julkaissut tai tulee julkaisemaan korjaukset haavoittuvuuteen. Jos haavoituvuuteen ei julkaista korjausta, niin hyväksikäyttöä voi rajoittaa:

  • Poistamalla HTML-sisällön näyttämisen käytöstä sähköpostiasiakasohjelmistossa
  • Estämällä sähköpostiasiakasohjelmistoa hakemasta automaattisesti sisältöä verkosta
  • Purkamalla salauksen jollain muulla työkalulla kuin haavoittuvalla sähköpostiasiakasohjelmistolla

Lisätietoja

Alkuperäinen tiedote julkaistu 16.5.2018