Европейские специалисты по безопасности предупредили о критических уязвимостях, обнаруженных в программном обеспечении для шифрования электронной почты PGP/GPG и S/MIME, которые могут раскрыть исходный текст зашифрованных электронных писем, включая ранее отправленные зашифрованные сообщения.
Оповещение было выпущено поздно вечером в воскресенье профессором в области компьютерной безопасности Себастьяном Шинцелем. Совместная исследовательская работа, которая будет опубликована завтра в 07:00 UTC (3:00 утра по восточному времени, 12:00 ночи по тихоокеанскому времени), обещает предложить исчерпывающее объяснение уязвимостей, для которых в настоящее время нет надежных исправлений.
В настоящее время нет надежных исправлений для уязвимости. Если вы используете PGP/GPG или S/MIME для очень конфиденциальной связи, вам следует отключить их в вашем почтовом клиенте на данный момент. Также прочтите пост в блоге @EFF по этому вопросу: https://t.co/zJh2YHhE5q #efail 2/4
— Sebastian Schinzel (@seecurity) 14 мая 2018 г.
Подробности о так называемом эксплойте «Efail» остаются неясными, но, по всей видимости, он связан с вектором атаки на реализацию шифрования в клиентском программном обеспечении при обработке HTML, а не с уязвимостью в самом методе шифрования. В посте в блоге, опубликованном поздно вечером в воскресенье Фондом электронных рубежей (Electronic Frontier Foundation), говорится:
«EFF находился в контакте с командой исследователей и может подтвердить, что эти уязвимости представляют непосредственный риск для тех, кто использует эти инструменты для электронной почты, включая потенциальное раскрытие содержимого прошлых сообщений.»
Тем временем пользователям PGP/GPG и S/MIME рекомендуется немедленно отключить и/или удалить инструменты, которые автоматически расшифровывают электронную почту, зашифрованную PGP, и искать альтернативные каналы сквозного шифрования, такие как Signal, для отправки и получения конфиденциального контента.
Обновление: Команда GPGTools/GPGMail опубликовала временное решение для защиты от уязвимости, в то время как MacRumors составил отдельное руководство по удалению популярного плагина с открытым исходным кодом для Apple Mail до выпуска исправления для уязвимости. Другие популярные затронутые клиенты включают Mozilla Thunderbird с Enigmail и Microsoft Outlook с GPG4win. Нажмите на ссылки, чтобы ознакомиться с инструкциями EFF по удалению.
