bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Düren und Umgebung:
S/MIME und OpenPGP verschlüsselte E-Mails: Efail-Schwachstellen können Ausleitung von Klartext erlauben




gds

Art der Meldung: Warnmeldung
Risikostufe 3
S/MIME und OpenPGP verschlüsselte E-Mails: Efail-Schwachstellen können Ausleitung von Klartext
erlauben

15.05.2018____________________________________________________________________________________________________
Betroffene Systeme:
Open Source S/MIME
PGP Corporation OpenPGP
____________________________________________________________________________________________________
Empfehlung:
Das Bürger-CERT empfiehlt bei dem Einsatz von E-Mail-Verschlüsselung auf Basis von OpenPGP und
S/MIME kurzfristig in den jeweiligen E-Mail-Programmen aktive und entfernte Inhalte zu
deaktivieren. In den meisten E-Mail-Programmen lässt sich dies durch eine reine Textdarstellung von
E-Mails (Deaktivierung von HTML-E-Mails) und das Unterbinden von extern nachgeladenen
Inhalten/Grafiken einstellen. Diese Einstellungen sind zudem in vielen Webmail-Diensten zu finden.
Mittelfristig sollten, sofern durch den Hersteller bereitgestellt, die jeweiligen
Sicherheitsupdates für die genutzten E-Mail-Clients zeitnah installiert werden. Langfristig ist
eine Anpassung der OpenPGP- und S/MIME-Standards sowie deren Implementierung erforderlich, dieses
ist Aufgabe der jeweiligen OpenPGP- und S/MIME-Arbeitsgruppen.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Open Pretty Good Privacy (OpenPGP) und S/MIME sind die am häufigsten für eine
Ende-zu-Ende-Verschlüsselung von E-Mails eingesetzten Verfahren. Während S/MIME bei den meisten
E-Mail-Programmen bereits direkt genutzt werden kann, kommt bei OpenPGP meist ein weiteres
Programm, wie GPG4Win (Windows), GPG Suite (macOS) oder ein Plug-in für das genutzte E-Mail-Progamm
(z. B. Enigmail für Mozilla Thunderbird) zum Einsatz.
____________________________________________________________________________________________________
Zusammenfassung:
Ein Angreifer kann mit Zugriff auf verschlüsselte E-Mails eines Opfers (z. B. indem eine E-Mail
während des Transports oder auf einem E-Mail-Server abgefangen wurde oder Zugriff auf ein
E-Mail-Backup bestand) die Efail-Schwachstellen ausnutzen. Um die E-Mail-Inhalte im Klartext
einsehen zu können, wird eine verschlüsselte E-Mail durch den Angreifer mit aktiven Inhalten
manipuliert. Nach der Entschlüsselung durch den Empfänger werden die aktiven Inhalte ausgeführt und
der Klartext der E-Mail an einen Server des Angreifers übertragen.
____________________________________________________________________________________________________
Quellen:
- (Hyperlink aufrufen)
- (Hyperlink aufrufen)

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de