公開日:2018/05/15 最終更新日:2018/08/20
JVNVU#95575473
OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性
複数のメールクライアントにおいて、OpenPGP および S/MIME メッセージを復号する際に平文メッセージが漏えいする可能性があります。
- OpenPGP および S/MIME をサポートする電子メールクライアント
OpenPGP および S/MIME をサポートする電子メールクライアントには、攻撃者が細工したコンテンツを挿入した暗号化メールをユーザのメールクライアントで復号させることにより、平文を送信するためのチャネルを確立することが可能です。発見者はこの脆弱性を用いた攻撃を "CBC/CFB gadget attack" と呼んでいます。例えば HTML image タグを挿入させることにより、復号されたメッセージが HTTP リクエストの一部として送信されてしまう可能性があります。
- CVE-2017-17688: OpenPGP CFB Attacks
- CVE-2017-17689: S/MIME CBC Attacks
詳細は、発見者が提供する論文を参照して下さい。
遠隔の第三者により、復号に必要な鍵情報なしに暗号化メールから平文を取得される可能性があります。
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- メールクライアントとは別のアプリケーションを使って復号する
- メールクライアントの HTML レンダリングを無効化する
- メールクライアントのリモートコンテンツの読み込みを無効化する
-
CERT/CC Vulnerability Note VU#122919
OpenPGP and S/MIME mail client vulnerabilities -
EFAIL
EFAIL -
EFAIL - Full techinical paper (pdf)
Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels [v0.9 Draft]
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2017-17688 |
CVE-2017-17689 |
|
JVN iPedia |
- 2018/05/22
- 横河計測株式会社のベンダステータスが更新されました
- 2018/08/20
- BizMobile株式会社のベンダステータスが更新されました