Vulnerabilidad: usuarios de correos cifrados deben desactivar plugins de descifrado de correo

15/05/2018
Se ha anunciado una vulnerabilidad que podría comprometer las comunicaciones cifradas a través de correo electrónico que utilicen los protocolos PGP o S/MIME

Riesgo: Crítico Crítico
Sistemas afectados:

Potencialmente todos los clientes de correo que tengan plugin de gestión de correos cifrados. Se destacan los siguientes:

  • Thunderbird con Enigmail
  • Apple Mail con GPGTools
  • Outlook con Gpg4Win
Descripción:

La vulnerabilidad, bautizada como EFAIL, podría permitir según el equipo de investigación que la ha descubierto, realizarse a través de un email especialmente manipulado y afectar tanto a correos que se reciban en el futuro como a correos recibidos en el pasado.

Cabe aclarar que el fallo no se encontraría en GPG, que sigue siendo seguro según han publicado responsables de GnuPG en Twitter e incluso en una nota de prensa, sino en la gestión de errores que realizan los plugin de las aplicaciones de correo que gestionan el correo cifrado.

Referencias (CVE):
Solución:

Hasta que los fabricantes publiquen las actualizaciones correspondientes, desactivar los plugin de cifrado y descifrado automático de correos electrónicos y realizar estas tareas de cifrado y descifrado manualmente fuera del contexto de los clientes de correo electrónico.