Donnerstag, 2. Mai 2019

Mehrere Schwachstellen in E-Mail Programmen ermöglichen Umgehen von Sicherheitsvorkehrungen

Dies ist eine Warnmeldung vom Bundesamt für Sicherheit in der Informtaionstechnik (BSI):

Es bestehen Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann.

Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt.

Für einen Angriff werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt, sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.

Betroffene Systeme:
  • Microsoft Outlook 2016
  • Microsoft Windows 10
  • Mozilla Thunderbird
Empfehlung: Nutzer sollten die E-Mail-Client-Software durch regelmäßige Updates auf dem aktuellsten Stand halten sowie aktive Inhalte im E-Mail-Client deaktivieren. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.    

Quellen:

Beliebteste Artikel