Es bestehen Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann.
Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt.
Für einen Angriff werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt, sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.
Betroffene Systeme:
- Microsoft Outlook 2016
- Microsoft Windows 10
- Mozilla Thunderbird
Quellen: