热门关键词:
首页 综合资讯

EFAIL漏洞可能泄露加密邮件明文内容,Thunderbird建议用户不要停用加密邮件功能

导读: 使用者在读取含有远端内容的加密信件时,不要使用现在同意(Allownow)选项载入远端内容,而且也不应点击信件中的远端内容,如此同样会开启反向通道。

图片来源: 

Thunderbird

Mozilla旗下的E-mail客户端软件Thunderbird在官方部落格公告,使用者应对EFAIL的方法,Thunderbird建议用户停用远端内容,以禁止图像、样式表或是影片在E-mail信件中显示,另外,还特别提到他们不建议用户停用加密功能,特别是传送内容属敏感资料,而新版本Thunderbird 52.8和52.8.1将会修补这个问题。

E-mail端到端加密技术OpenPGP和S/MIME被爆出,因标准定义不够严谨而导致加密邮件以明文曝光的EFAIL漏洞。骇客可以滥用HTML电子邮件的活动内容,像是外部载入的图像或是样式,透过请求URL来渗透邮件明文。知名开源E-mail客户端软件Thunderbird为此,在部落格发文告知使用者官方推荐的应对方式。

多数EFAIL漏洞的开采需要利用反向通道,且还需要骇客发送一封动过手脚的信件给使用者。因此Thunderbird提到,使用者被攻击的成立要素有二,第一、使用者有使用S/MIME或是透过Enigmail等扩充套件以PGP加密邮件。第二、骇客能够存取使用者的加密E-mail。唯有这两项要素同时具备,使用者才会曝露在EFAIL漏洞风险中。

而使用者在针对EFAIL漏洞修正的新版本Thunderbird 52.8和52.8.1释出之前,该如何自保?Thunderbird建议用户在客户端禁用远端内容(Remote Content),如此便能防止图像、样式表或是影片,在使用者读取信件时自动载入,Thunderbird表示,这将有助减缓骇客攻击力道,而Thunderbird原本就预设禁用远端内容。另外,使用者在读取含有远端内容的加密信件时,不要使用现在同意(Allow now)选项载入远端内容,而且也不应点击信件中的远端内容,如此同样会开启反向通道。

部分网站提到应停用E-mail加密功能,Thunderbird强调不要停用加密功能,特别是透过E-mail传送敏感资讯的使用者,加密功能仍然可以提供一定程度的防护效果。而电子前线基金会(Electronic Frontier Foundation,EFF)同样也在官方网站建议使用者,停用或是解除安装会自动解密PGP加密邮件的工具就好。