Apple MailのHTMLレンダリングの欠陥で、暗号化されたメールからプレーンテキストへ

Apple MailのHTMLレンダリングの欠陥で、暗号化されたメールからプレーンテキストへ

Apple Mail for iOSとmacOSで発見されたHTMLレンダリングの欠陥の詳細が公開され、悪意のある攻撃者が暗号化された電子メールから復号化されたプレーンテキストを引き出すことができた

ほとんどの電子メールは暗号化されずに送信されますが、多くの企業や人々はS / MIMEとPGPで暗号化された電子メール通信を使用してプライベートで送信しています

これらの新しく公開されたセキュリティホール は、個人的な電子メールの会話のセキュリティを弱体化させます

攻撃者が人物から暗号化された電子メールコンテンツを取得した場合、その暗号化されたテキストをユーザーに送り返し、復号化された平文フォームを送信者の秘密暗号化キーにアクセスすることなく公開することができます

本質的に、攻撃者は3つの部分、すなわちHTMLの部分的な「img」タグ宣言、暗号化されたテキストの文字列、イメージタグの終了HTMLの3つの部分を送信します、これによりメールクライアントは暗号文を解読し、それを偽の画像のソースURLとしてレンダリングします


AppleのMac MailアプリとMail for iPhoneとiPadのこの欠陥は、間違いなくすでに動作しているソフトウェアアップデートで解決できます
このバグはPGP / GPGおよびS / MIME電子メール暗号化ソフトウェアを使用している人にのみ影響し、暗号化キーなしではメッセージを読むことができません。ビジネスユーザーは、電子メール通信の盗聴を防ぐために、暗号化に頼っていることがよくあります。

しかし、ほとんどの電子メールは暗号化されずに送信されます

自分自身を守る方法

一時的ですが、GPGTools / GPGMailの暗号化プラグインをMacOSのApple Mailから削除します(ライブラリ/Mail/Bundles または、〜/ Library / Mail / BundlesのGPGMail.mailbundleを ゴミ箱に入れます)

HTMLのレンダリングの問題に加えて、EFAILの研究者は、Appleのものに加えて、20種類のクライアントに影響を及ぼすS / MIME標準仕様自体の技術的な悪用も掲載しました、これははるかに技術的な欠陥です

長期的には、この特定の脆弱性を包括的に修正するには、基盤となる電子メール暗号化基準を更新する必要があります

(Via 9to5Mac.)


LEAVE A REPLY

*
*
* (公開されません)