Kurzinfo CB-K18/0673

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: S/MIME und OpenPGP verschlüsselte E-Mails: Efail-Schwachstellen können Ausleitung von Klartext erlauben
Datum: 15.05.2018
Software: Open Source S/MIME, PGP Corporation OpenPGP
Plattform: Linux, MacOS X, Sonstiges, UNIX, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2017-17688, CVE-2017-17689
Bezug: Paper unter www.efail.de
Revisions Historie
  • Version: 1

    Initial Release

Beschreibung

Open Pretty Good Privacy (OpenPGP) und S/MIME sind die am häufigsten für eine Ende-zu-Ende-Verschlüsselung von E-Mails eingesetzten Verfahren. Während S/MIME bei den meisten E-Mail-Programmen bereits direkt genutzt werden kann, kommt bei OpenPGP meist ein weiteres Programm, wie GPG4Win (Windows), GPG Suite (macOS) oder ein Plug-in für das genutzte E-Mail-Progamm (z. B. Enigmail für Mozilla Thunderbird) zum Einsatz.

Das Bürger-CERT empfiehlt bei dem Einsatz von E-Mail-Verschlüsselung auf Basis von OpenPGP und S/MIME kurzfristig in den jeweiligen E-Mail-Programmen aktive und entfernte Inhalte zu deaktivieren. In den meisten E-Mail-Programmen lässt sich dies durch eine reine Textdarstellung von E-Mails (Deaktivierung von HTML-E-Mails) und das Unterbinden von extern nachgeladenen Inhalten/Grafiken einstellen. Diese Einstellungen sind zudem in vielen Webmail-Diensten zu finden. Mittelfristig sollten, sofern durch den Hersteller bereitgestellt, die jeweiligen Sicherheitsupdates für die genutzten E-Mail-Clients zeitnah installiert werden. Langfristig ist eine Anpassung der OpenPGP- und S/MIME-Standards sowie deren Implementierung erforderlich, dieses ist Aufgabe der jeweiligen OpenPGP- und S/MIME-Arbeitsgruppen.

  1. Paper unter www.efail.de vom 2018-05-14

  2. [2] "Efail"-Schwachstellen: Was Sie jetzt wissen sollten

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.