您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 漏洞公告

電子郵件OpenPGP及S/MIME加密規範存在安全漏洞(CVE-2017-17688與CVE-2017-17689),允許攻擊者竊取機敏郵件資訊

內容說明:

OpenPGP與S/MIME是電子郵件端點對端點的加密規範。

研究人員發現OpenPGP(CVE-2017-17688)及S/MIME(CVE-2017-17689)存在安全漏洞,攻擊者透過中間人攻擊進行郵件攔截,再以特殊的格式將已加密的段落加上HTML的標籤(Tag),當受害者收到修改的電子郵件並進行解密後會載入外部HTML內容,使加密訊息以明文回傳至攻擊者,進而造成機敏郵件資訊外洩等。

 

目前已知影響平台如下:

所有使用OpenPGP及S/MIME規範的郵件軟體

 

建議措施:

1.目前OpenPGP與S/MIME為協定上的邏輯漏洞,目前尚無修補方式,請持續留意相關訊息的發布。

2.此漏洞緩解的方法如下:

.以純文字方式開啟信件,避免以HTML讀取信件

.刪除電子郵件中保存的私鑰,並將密文複製至其他單獨的應用程式進行解密,解密方式可參考以下網址(https://www.eff.org/deeplinks/2018/05/pretty-good-procedures-protecting-your-email)

3.請定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進行入侵行為,並更新防毒軟體病毒碼以加強防護。

 

參考資料:

1. https://efl.de

2. https://securitytracker.com/id/1040904

3. https://securitytracker.com/id/1040906

4. https://securitytracker.com/id/1040907

 

Publish Date
2018/5/16 17:00:02