BLOGTIMES
2018/05/21

PGP や S/MIME の平文が読み取られる?

  PoC 
このエントリーをはてなブックマークに追加

Efail - PGP や S/MIME の平文が読み取られる?

話題になっていた PGP や S/MIME に関する脆弱性「EFAIL」についてやっと目を通すことができたのでメモ。

上気の2つに目を通せば内容は十分に分かりますが、平文に戻したときにタグの間に平文が挟まるようにするなど以外と単純な攻撃が多いような印象を受けました。暗号化されたメールをシンプルテキストでなく HTML メール送っている頻度もそれほど高くないと思われるので、攻撃可能性としてはどうなんでしょうかね。

暗号化メールが読み取られる? 平文を抽出する脆弱性「EFAIL」をESETが解説:脅威の現実性に疑問も - @IT

efail.deでの研究者チームの説明によると、EFAILの悪用は、HTML電子メールのアクティブコンテンツ(外部からロードされる画像やスタイルなど)を使って行われる。攻撃者が送信した暗号化メールを被害者のメールクライアントが復号し、指定されたURLから外部コンテンツをロードすると、平文が抽出される仕組みだという。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/10189
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン