Mai 14: Sicherheitslücke in Mail-Verschlüsselung entdeckt - Updates bereits auf dem Weg
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Ein Team von Sicherheitsforschern der FH Münster hat am heutigen Tage eine Sicherheitslücke in der PGP/GPG- bzw. S/MIME-Verschlüsselung von E-Mails publik gemacht, durch die eigentlich als verschlüsselt versendete E-Mails in Klartext ausgegeben werden können. Betroffen sind hiervon sowohl aktuelle E-Mails, als auch solche, die bereits in der Vergangenheit verschickt wurden. Zwar gibt es aktuell keine verlässlichen Maßnahmen gegen die inzwischen unter der Bezeichnung "Efail" bekannten Lücke, allerdings ist ihre Relevanz in der Praxis auch nicht abschließend geklärt.
Während die Electronic Frontier Foundation (EFF) eine offizielle Warnung zu der Schwachstelle veröffentlicht hat, sehen unter anderem der Sicherheitsexperte Alec Muffet oder auch der GPG-Entwickler Werner Koch die Auswirkungen nicht so dramatisch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen ebenfalls eine Stellungnahme veröffentlicht, in der man die Meinung äußert, dass die genannten E-Mail-Verschlüsselungsstandards auch weiterhin sicher eingesetzt werden können, "wenn sie korrekt implementiert und sicher konfiguriert werden".
Damit durch die Lücke Schaden angerichtet werden kann, muss ein Angreifer zum einen Zugriff auf den Übertragungsweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zum anderen muss beim Empfänger beispielsweise die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte, wie beispielsweise von Grafiken aktiviert sein. Laut BSI haben die Hersteller der gängigen Mailclients bereits Updates ihrer Produkte angekündigt oder sogar schon bereitgestellt.
Wer sich bis zur Bereitstellung der entsprechenden Updates kurzfristig gegen die Lücke schützen möchte, kann seinen Mailclient auch so konfigurieren, dass er gegen einen möglichen Angriff immun ist. Unter anderem sollten hierzu sämtliche GPGTools/GPGMail Encryption-Plugins vorerst deinstalliert werden. Hierfür steht inzwischen eine Schritt-für-Schritt-Anleitung bereit. Für Mail auf dem Mac geht man dabei folgendermaßen vor:
Es darf davon ausgegangen werden, dass Apple in Kürze ein entsprechendes Update für Mail am Mac bereitstellen wird. Weitere Anleitungen existieren zudem auch für Mozilla Thunderbird mit Enigmail und Microsoft Outlook mit GPG4win.
Alle Links in den iTunes Store sind Partnerlinks. Wer hierüber einkauft, unterstützt Flo's Weblog mit einen kleinen Prozentsatz des unveränderten Kaufpreises. Selbes gilt auch für Einkäufe bei Amazon und weiteren ähnlichen Anbietern. Über die Spenden-Funktion innerhalb der App besteht ebenfalls die Möglichkeit, Flo's Weblog finanziell zu unterstützen. Ich bedanke mich schon jetzt für die Unterstützung!
Impressum | Datenschutz
© by Florian Schimanke | Template based on Andreas08