OpenPGP ja S/MIME sähköpostiasiakasohjelmistoissa haavoittuvuuksia

Tietoturvatutkijat ovat löytäneet haavoittuvuuksia useiden sähköpostiasiakasohjelmien tavasta käsitellä PGP ja S/MIME -salattuja sähköpostiviestejä. Löydetyt haavoittuvuudet voivat mahdollistaa salatun viestin muotoilun siten, että salausta purettaessa sähköpostiasiakasohjelma vuotaa salattua sisältöä hyökkääjälle. Haavoittuvuuden hyväksikäyttöä voi rajoittaa yksinkertaisesti poistamalla HTML-sisällön näyttämisen käytöstä ja estämällä sisällön automaattisen haun verkosta.

Useista sähköpostiasiakasohjelmistoista on löytynyt haavoittuvuuksia tavasta, jolla ne käsittelevät PGP ja S/MIME -salattuja sähköpostiviestejä. Haavoittuvuuden hyväksikäyttö voi mahdollistaa salatun viestin sisällön vuotamisen hyökkäjäälle. Löytyneet haavoittuvuudet eivät liity PGP tai S/MIME -salauksiin, vaan sähköpostiasiakasohjelmistojen tapaan käsitellä salattuja viestejä.

Haavoittuvuuden kohde

PGP:tä käyttävät ohjelmistot:

Apple Mail
iOS Mail
Roundcube / Enigmail
Thunderbird / Enigmail
Outlook 2007 / GPG4Win

S/MIME:ä käyttävät ohjelmistot:

Outlook 2007 - 2016
Thunderbird
Apple Mail
IBM Notes
GMail
KMail

Mistä on kysymys?

Osa haavoittuvista sähköpostiasiakasohjelmistoista on jo julkaissut tai tulee julkaisemaan korjaukset haavoittuvuuteen. Jos haavoituvuuteen ei julkaista korjausta, niin hyväksikäyttöä voi rajoittaa:

Poistamalla HTML-sisällön näyttämisen käytöstä sähköpostiasiakasohjelmistossa
Estämällä sähköpostiasiakasohjelmistoa hakemasta automaattisesti sisältöä verkosta
Purkamalla salauksen jollain muulla työkalulla kuin haavoittuvalla sähköpostiasiakasohjelmistolla

Mitä voin tehdä?

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.