OpenPGP ja S/MIME sähköpostiasiakasohjelmistoissa haavoittuvuuksia

Tietoturvatutkijat ovat löytäneet haavoittuvuuksia useiden sähköpostiasiakasohjelmien tavasta käsitellä PGP ja S/MIME -salattuja sähköpostiviestejä. Löydetyt haavoittuvuudet voivat mahdollistaa salatun viestin muotoilun siten, että salausta purettaessa sähköpostiasiakasohjelma vuotaa salattua sisältöä hyökkääjälle. Haavoittuvuuden hyväksikäyttöä voi rajoittaa yksinkertaisesti poistamalla HTML-sisällön näyttämisen käytöstä ja estämällä sisällön automaattisen haun verkosta.

Useista sähköpostiasiakasohjelmistoista on löytynyt haavoittuvuuksia tavasta, jolla ne käsittelevät PGP ja S/MIME -salattuja sähköpostiviestejä. Haavoittuvuuden hyväksikäyttö voi mahdollistaa salatun viestin sisällön vuotamisen hyökkäjäälle. Löytyneet haavoittuvuudet eivät liity PGP tai S/MIME -salauksiin, vaan sähköpostiasiakasohjelmistojen tapaan käsitellä salattuja viestejä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

PGP:tä käyttävät ohjelmistot:
  • Apple Mail
  • iOS Mail
  • Roundcube / Enigmail
  • Thunderbird / Enigmail
  • Outlook 2007 / GPG4Win
S/MIME:ä käyttävät ohjelmistot:
  • Outlook 2007 - 2016
  • Thunderbird
  • Apple Mail
  • IBM Notes
  • GMail
  • KMail

Ratkaisu- ja rajoitusmahdollisuudet:

Osa haavoittuvista sähköpostiasiakasohjelmistoista on jo julkaissut tai tulee julkaisemaan korjaukset haavoittuvuuteen. Jos haavoituvuuteen ei julkaista korjausta, niin hyväksikäyttöä voi rajoittaa:

  • Poistamalla HTML-sisällön näyttämisen käytöstä sähköpostiasiakasohjelmistossa
  • Estämällä sähköpostiasiakasohjelmistoa hakemasta automaattisesti sisältöä verkosta
  • Purkamalla salauksen jollain muulla työkalulla kuin haavoittuvalla sähköpostiasiakasohjelmistolla

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248