Print Friendly, PDF & Email

Art der Meldung: Warnmeldung

Risikostufe 2

Mehrere Schwachstellen in E-Mail Programmen ermöglichen Umgehen von Sicherheitsvorkehrungen

 

02.05.2019____________________________________________________________________________________________________

Betroffene Systeme:

Apple iOS

Microsoft Outlook 2016

Microsoft Windows 10

Mozilla Thunderbird

____________________________________________________________________________________________________

Empfehlung:

Das BürgerCERT empfiehlt, die E-Mail-Client-Software durch regelmäßige Updates auf dem aktuellsten Stand zu halten, sowie aktive Inhalte im E-Mail-Client zu deaktivieren. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.

____________________________________________________________________________________________________

____________________________________________________________________________________________________

Beschreibung:

Thunderbird ist ein Open Source E-Mail Client.

Outlook ist ein Personal Information Manager von Microsoft und ist Bestandteil der Office Suite.

Mutt ist ein textbasiertes E-Mail-Programm für Unix und andere Unix-artige Betriebssysteme.

Outlook Web Access (OWA) ist eine von Microsoft verwendete Technik zum Zugriff auf E-Mail-Postfächer eines Exchange Servers über das Internet.

____________________________________________________________________________________________________

Zusammenfassung:

Es bestehen Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann. Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt. Für einen Angriff werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt, sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.

____________________________________________________________________________________________________

Quellen:

https://arxiv.org/ftp/arxiv/papers/1904/1904.07550.pdf

https://github.com/RUB-NDS/Johnny-You-Are-Fired

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe eine Antwort

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Erforderlich

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.