Acaba de anunciarse el descubrimiento de una vulnerabilidad que podría comprometer las comunicaciones futuras y pasadas a través de email que usan PGP
El descubrimiento de una vulnerabilidad por un grupo europeo de investigación, entre los que se encuentran miembros de DROWN Attack, obliga a desactivar de inmediato los plugins para el descifrado de emails mediante PGP y S/MIME. Se especifican en concreto los siguientes plugins:
- Thunderbird con Enigmail
- Apple Mail con GPGTools
- Outlook con Gpg4Win
joyague@hispasec.com
Detalles en Twitter sobre el funcionamiento:
https://twitter.com/martijn_grooten/status/995928166878334977
Anuncio en Electronic Frontier Foundation:
https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
Aclaraciones GnuPG en Twitter:
https://twitter.com/gnupg/status/995931083584757760
Detalles en Twitter sobre soluciones por Sebastian Schinzel:
https://twitter.com/seecurity/status/995906638556155904
Hola!
Tengo dudas si esta vulnerabilidad sigue vigente. Es porque uso un plugin de descifrado por comodidad y cuando vi tu artículo deje de usarlo. Me gustaría recuperarlo. ¿Sabes algo si ya han resuelto la vulnerabilidad estos plugins?
Si no me equivoco, La vulnerabilidad es (CVE-2018-12020) y en Enigmail fue corregida en la versión 2.0.7. https://www.enigmail.net/index.php/en/download/changelog#enig2.0.8 No sé en los otros plugins.
Gracias de antemano