Art der Meldung: Warnmeldung
Risikostufe 2
Mehrere Schwachstellen in E-Mail Programmen ermöglichen Umgehen von Sicherheitsvorkehrungen
02.05.2019____________________________________________________________________________________________________
Betroffene Systeme:
Apple iOS
Microsoft Outlook 2016
Microsoft Windows 10
Mozilla Thunderbird
____________________________________________________________________________________________________
Empfehlung:
Das BürgerCERT empfiehlt, die E-Mail-Client-Software durch regelmäßige Updates auf dem aktuellsten Stand zu halten, sowie aktive Inhalte im E-Mail-Client zu deaktivieren. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Thunderbird ist ein Open Source E-Mail Client.
Outlook ist ein Personal Information Manager von Microsoft und ist Bestandteil der Office Suite.
Mutt ist ein textbasiertes E-Mail-Programm für Unix und andere Unix-artige Betriebssysteme.
Outlook Web Access (OWA) ist eine von Microsoft verwendete Technik zum Zugriff auf E-Mail-Postfächer eines Exchange Servers über das Internet.
____________________________________________________________________________________________________
Zusammenfassung:
Es bestehen Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann. Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt. Für einen Angriff werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt, sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.
____________________________________________________________________________________________________
Quellen:
– https://arxiv.org/ftp/arxiv/papers/1904/1904.07550.pdf
– https://github.com/RUB-NDS/Johnny-You-Are-Fired
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn