Acaba de anunciarse el descubrimiento de una vulnerabilidad que podría comprometer las comunicaciones futuras y pasadas a través de email que usan PGP
El descubrimiento de una vulnerabilidad por un grupo europeo de investigación, entre los que se encuentran miembros de DROWN Attack, obliga a desactivar de inmediato los plugins para el descifrado de emails mediante PGP y S/MIME. Se especifican en concreto los siguientes plugins:
- Thunderbird con Enigmail
- Apple Mail con GPGTools
- Outlook con Gpg4Win
Aunque todavía no se han dado detalles sobre el funcionamiento de esta vulnerabilidad, se sabe que su explotación puede realizarse mediante un email especialmente manipulado. Además, esta vulnerabilidad no sólo afectaría a los futuros emails, sino también a los pasados.
Es necesario aclarar, que el fallo no se encontraría en GPG, el cual sigue siendo seguro tal y como ha asegurado GnuPG en Twitter, sino en el parseador que utilizan los plugins para detectar errores en el descifrado.
La vulnerabilidad a día de hoy no tiene solución, según ha dicho Sebastian Schinzel a través de Twitter, por lo que deben mantenerse deshabilitados o desinstalar los plugins que permitan el descifrado hasta entonces. Mañana martes, a las 07:00 UTC (08:00 en España peninsular) se mostrarán más detalles en un paper que se liberará.
Juan José Oyague
joyague@hispasec.com
joyague@hispasec.com
Más información:
Anuncio en Twitter por Sebastian Schinzel:
https://twitter.com/seecurity/status/995906576170053633
Detalles en Twitter sobre el funcionamiento:
https://twitter.com/martijn_grooten/status/995928166878334977
Anuncio en Electronic Frontier Foundation:
https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
Detalles en Twitter sobre el funcionamiento:
https://twitter.com/martijn_grooten/status/995928166878334977
Anuncio en Electronic Frontier Foundation:
https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
Aclaraciones GnuPG en Twitter:
https://twitter.com/gnupg/status/995931083584757760
Detalles en Twitter sobre soluciones por Sebastian Schinzel:
https://twitter.com/seecurity/status/995906638556155904
Hola!
Tengo dudas si esta vulnerabilidad sigue vigente. Es porque uso un plugin de descifrado por comodidad y cuando vi tu artículo deje de usarlo. Me gustaría recuperarlo. ¿Sabes algo si ya han resuelto la vulnerabilidad estos plugins?
Si no me equivoco, La vulnerabilidad es (CVE-2018-12020) y en Enigmail fue corregida en la versión 2.0.7. https://www.enigmail.net/index.php/en/download/changelog#enig2.0.8 No sé en los otros plugins.
Gracias de antemano