Los clientes de
correo electrónico que soporten OpenPGP y S/MIME pueden permitir una fuga de
información de los correos cifrados si el cliente de correo de la víctima
permite el procesamiento de contenido HTML, dicha s vulnerabilidades han sido
catalogadas con Importancia: 4 - Alta
Recursos afectados:
La mayoría de
implementaciones OpenPGP y S/MIME en los clientes de correo más populares.
Detalle de vulnerabilidades:
Varios investigadores
han descubierto que los clientes de correo electrónico que implementan los
estándares OpenPGP o S/MIME pueden
permitir que un atacante inyecte contenido HTML que puede servir como canal
para la fuga de información ya que al interpretar el código HTML el cliente
puede enviar texto plano en las peticiones HTTP realizadas.
Además los clientes
de correo que no aíslan las múltiples partes MIME pueden permitir que un
atacante encapsule etiquetas HTML que al ser descifradas permitirían concatenar
texto plano en la URL y la fuga de información al realizar la petición HTTP(S).
Para estas
vulnerabilidades se han reservado los identificadores CVE-2017-17688 y
CVE-2017-17689.
Recomendación
Actualmente no existe
una solución para estas vulnerabilidades pero sí medidas que mitiguen sus
efectos:
- Descifrar los
correos fuera del cliente de correo.- Al usar una aplicación
independiente al cliente de correo electrónico se evita que este pueda
realizar la fuga de información.
- Deshabilitar la
presentación en formato HTML.- Evitando que el cliente de correo
presente el contenido en formato HTML se evitará el principal canal de
fuga de información.
- Deshabilitar la
carga de contenido remoto.- Evitar que el cliente de correo cargue
contenido remoto impide el principal medio de fuga de información.
Más información
·
Certsi.es
https://www.certsi.es/alerta-temprana/avisos-seguridad/vulnerabilidades-openpgp-y-smime-los-clientes-correo
Fuente: INCIBE
