Argitalpen data: 2018/05/15
Garrantzia: Handia
Kaltetutako baliabideak:
OpenPGP eta S/MIMEren inplementazio gehienak posta bezero ezagunenetan.
Azalpena:
OpenPGP eta S/MIME erabiltzen duten posta elektronikoko bezeroek mezu zifratuetan informazio ihesa izan dezakete biktimaren posta bezeroak HTML edukia prozesatzeko aukera baldin badu.
Konponbidea:
Une honetan ez dago konponbiderik ahultasun horietarako, baina neurri batzuk har daitezke kalteak murrizteko:
Xehetasuna:
Hainbat ikerlarik aurkitu dutenez, OpenPGP edo S/MIME estandarrak erabiltzen dituzten posta elektronikoko bezeroek ahalbidetu dezaketela erasotzaile batek HTML edukia injektatzea. Horrek informazioaren iheserako bide modura balio dezake, izan ere, HTML kodea interpretatzean bezeroak testu laua bidal dezake egindako HTTP eskaeretan.
Gainera, MIME parte anizkunak isolatzen ez dituzten posta bezeroek ahalbidetu dezakete erasotzaile batek HTML etiketak kapsulatzea. Horiek deszifratutakoan, URLan testu laua kateatu liteke eta informazio ihesa gerta liteke HTTP(S) eskaera egindakoan.
Ahultasun horietarako CVE-2017-17688 eta CVE-2017-17689 identifikatzaileak erreserbatu dira.
Etiketak: Komunikazioak, Posta elektronikoa, Ahultasuna