信息來(lái)源:secdoctor
北京時(shí)間5月15日上午消息,歐洲研究人員與電子前哨基金會(huì)(EFF)發(fā)布警告稱,用PGP/GPG和S/MIME編碼的信息存在嚴(yán)重漏洞,20多個(gè)郵件客戶端受到影響。研究人員還說(shuō),目前并沒有可靠的修復(fù)方式,他們建議用戶迅速在郵件客戶端內(nèi)禁用不安全的加密方式,先用其它方法發(fā)送安全數(shù)據(jù)。
漏洞分為兩類,一是“Direct Exfiltration”,二是“CBC/CFB Gadget Attack”。Direct Exfiltration影響蘋果macOS、iOS郵件客戶端,還有Mozilla Thunderbird。利用這種漏洞,攻擊者可以發(fā)一封郵件,自動(dòng)解碼受害者發(fā)送的加密信息并分享內(nèi)容。研究人員相信,這個(gè)漏洞只要安裝補(bǔ)丁就能解決。
CBC/CFB Gadget Attack影響的郵件客戶端更多,包括微軟Outlook,至于漏洞的威力如何,具體要看用的是PGP還是S/MIME加密方式。如果是PGP加密,每嘗試三次只會(huì)有一次成功,如果是S/MIME加密,一封郵件一次最多可以破解500條信息。郵件客戶端可能會(huì)拿出自己的應(yīng)對(duì)方案,不過如果想從底層架構(gòu)對(duì)OpenPGP和S/MIME進(jìn)行修復(fù),可能需要更長(zhǎng)時(shí)間。
就眼下來(lái)說(shuō),EFF建議用戶暫時(shí)禁用PGP和S/MIME郵件加密功能。