OpenPGP および S/MIME メールクライアントの脆弱性について

no extension

昨日くらいから GnuPG のメーリングリストが騒がしかったが,これのせいか。

JVNDB-2017-012995 が発行されたので以下に書き出しておく(早速 jvnman を使うことになるとはw)。

脆弱性の概要

平文メッセージが漏えいする可能性があります。 OpenPGP および S/MIME をサポートする電子メールクライアントには、攻撃者が細工したコンテンツを挿入した暗号化メールをユーザのメールクライアントで復号させることにより、平文を送信するためのチャネルを確立することが可能です。 発見者はこの脆弱性を用いた攻撃を “CBC/CFB gadget attack” と呼んでいます。例えば HTML image タグを挿入させることにより、復号されたメッセージが HTTP リクエストの一部として送信されてしまう可能性があります。

  • CVE-2017-17688: OpenPGP CFB Attacks
  • CVE-2017-17689: S/MIME CBC Attacks

また、一部のメールクライアントでは、マルチパートの MIME メッセージを正しく分離して処理しないため、攻撃者は暗号化されたメールを平文の MIME パートに含めることが可能になります。この場合、CBC/CFB gadget attack を実行することなく平文メッセージが送信されてしまう可能性があります。 詳細は、発見者が提供する論文を参照して下さい。

想定される影響

遠隔の第三者により、復号に必要な鍵情報なしに暗号化メールから平文を取得される可能性があります。

影響を受ける製品

  • (複数のベンダ) / (複数の製品)

深刻度

CVSSv3 評価なし

対策

[ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • メールクライアントとは別のアプリケーションを使って復号する
  • メールクライアントの HTML レンダリングを無効化する
  • メールクライアントのリモートコンテンツの読み込みを無効化する

関連情報

(Powerd by JVN & jvnman)

影響を受ける製品については以下を参照のこと。

つか,暗号化メッセージングに電子メールはもはや適切とは言えないので,この機会に他の手段も併せて考えておくべきだろう。

その他ブックマーク