【活用ガイド】

JVNDB-2017-012995

OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性

概要

複数のメールクライアントにおいて、OpenPGP および S/MIME メッセージを復号する際に平文メッセージが漏えいする可能性があります。

OpenPGP および S/MIME をサポートする電子メールクライアントには、攻撃者が細工したコンテンツを挿入した暗号化メールをユーザのメールクライアントで復号させることにより、平文を送信するためのチャネルを確立することが可能です。発見者はこの脆弱性を用いた攻撃を "CBC/CFB gadget attack" と呼んでいます。例えば HTML image タグを挿入させることにより、復号されたメッセージが HTTP リクエストの一部として送信されてしまう可能性があります。

  *CVE-2017-17688: OpenPGP CFB Attacks
  *CVE-2017-17689: S/MIME CBC Attacks

また、一部のメールクライアントでは、マルチパートの MIME メッセージを正しく分離して処理しないため、攻撃者は暗号化されたメールを平文の MIME パートに含めることが可能になります。この場合、CBC/CFB gadget attack を実行することなく平文メッセージが送信されてしまう可能性があります。

詳細は、発見者が提供する論文を参照して下さい。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


(複数のベンダ)
  • (複数の製品)

OpenPGP および S/MIME をサポートする電子メールクライアントが、本脆弱性の影響を受けます。
想定される影響

遠隔の第三者により、復号に必要な鍵情報なしに暗号化メールから平文を取得される可能性があります。
対策

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  * メールクライアントとは別のアプリケーションを使って復号する
  * メールクライアントの HTML レンダリングを無効化する
  * メールクライアントのリモートコンテンツの読み込みを無効化する
ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2017-17688
  2. CVE-2017-17689
参考情報

  1. JVN : JVNVU#95575473
  2. National Vulnerability Database (NVD) : CVE-2017-17689
  3. National Vulnerability Database (NVD) : CVE-2017-17688
  4. US-CERT Vulnerability Note : VU#122919
  5. 関連文書 : EFAIL
  6. 関連文書 : Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels (draft 0.9.0)
更新履歴

  • [2018年05月16日]
      掲載
  • [2018年08月30日]
      参考情報:National Vulnerability Database (NVD) (CVE-2017-17688) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2017-17689) を追加