信頼性のある対策は現在の時点で存在せず、また攻撃により過去の暗号化メールも解読される恐れがあるという。
13597406 journal 90の日記: PGPとS/MIMEに脆弱性、05/15 0700Zまで報道規制中。EFFなどが即時の利用中止を呼びかけ 6 日記 by 90 2018年05月14日 20時39分 信頼性のある対策は現在の時点で存在せず、また攻撃により過去の暗号化メールも解読される恐れがあるという。
arstechnica が報じたのが6時間前くらい (スコア:1)
https://twitter.com/seecurity/status/995906638556155904?ref_src=twsrc%5Etfw [twitter.com]
をソースに
https://arstechnica.com/information-technology/2018/05/critical-pgp-an... [arstechnica.com]
// https://www.google.com/search?q=PGP+S%2FMIME+vulnarable&ie=utf-8&a... [google.com] と検索した。
おおう (スコア:1)
S/MIMEもか...ふつーにメール暗号化全体の問題だなあ
M-FalconSky (暑いか寒い)
バグに面白い名前つけるのはもう飽きたね (スコア:1)
EFAILだってさ。
https://efail.de/ [efail.de]
Re:バグに面白い名前つけるのはもう飽きたね (スコア:1)
In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.
gpgの実装上の問題であり、暗号そのものが破られたわけではない。
Re:バグに面白い名前つけるのはもう飽きたね (スコア:1)
ZDNet Japanの記事 [zdnet.com]を見ただけなのでまだはっきりとしないですが、
PGP・S/MIMEの問題というよりは、メールクライアント側のmultipartの
扱いに起因する問題のような印象が。
Re:バグに面白い名前つけるのはもう飽きたね (スコア:1)
あぁ、指摘されてる脆弱性は2つあって、
(Direct Exfiltration・The CBC/CFB Gadget Attack)
multipartの扱いに起因する問題っぽいのは前者だけですね。
後者は暗号化されたデータの先頭部分が殆どの場合決まった
内容("Content-type: multipart/signed"とか)なのを利用して、
先頭部分を改竄できるということらしい。