Acaba de anunciarse
el descubrimiento de una vulnerabilidad que podría comprometer las
comunicaciones futuras y pasadas a través de email que usan PGP
El descubrimiento de
una vulnerabilidad por un grupo europeo de investigación, entre los que se
encuentran miembros de DROWN Attack, obliga a desactivar de inmediato los
plugins para el descifrado de emails mediante PGP y S/MIME. Se especifican en
concreto los siguientes plugins:
1.
Thunderbird
con Enigmail
2.
Apple
Mail con GPGTools
3.
Outlook
con Gpg4Win
Aunque todavía no se
han dado detalles sobre el funcionamiento de esta vulnerabilidad, se sabe que
su explotación puede realizarse mediante un email especialmente manipulado.
Además, esta vulnerabilidad no sólo afectaría a los futuros emails, sino también
a los pasados.
Es necesario aclarar,
que el fallo no se encontraría en GPG, el cual sigue siendo seguro tal y como
ha asegurado GnuPG en Twitter, sino en el parseador que utilizan los plugins
para detectar errores en el descifrado.
La vulnerabilidad a día
de hoy no tiene solución, según ha dicho Sebastian Schinzel a través de
Twitter, por lo que deben mantenerse deshabilitados o desinstalar los plugins
que permitan el descifrado hasta entonces. Mañana martes, a las 07:00 UTC
(08:00 en España peninsular) se mostrarán más detalles en un paper que se
liberará.
Más información:
·
Anuncio
en Twitter por Sebastian Schinzel: https://twitter.com/seecurity/status/995906576170053633
·
Detalles
en Twitter sobre el funcionamiento: https://twitter.com/martijn_grooten/status/995928166878334977
·
Anuncio
en Electronic Frontier Foundation:
·
Aclaraciones
GnuPG en Twitter: https://twitter.com/gnupg/status/995931083584757760
·
Detalles
en Twitter sobre soluciones por Sebastian Schinzel: https://twitter.com/seecurity/status/995906638556155904
Fuente:Hispasec