Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/05/2018
La vulnerabilidad, bautizada como EFAIL, podría permitir según el equipo de investigación que la ha descubierto, realizarse a través de un email especialmente manipulado y afectar tanto a correos que se reciban en el futuro como a correos recibidos en el pasado.
Cabe aclarar que el fallo no se encontraría en GPG, que sigue siendo seguro según han publicado responsables de GnuPG en Twitter e incluso en una nota de prensa, sino en la gestión de errores que realizan los plugin de las aplicaciones de correo que gestionan el correo cifrado.
Sistemas Afectados:Potencialmente todos los clientes de correo que tengan plugin de gestión de correos cifrados. Se destacan los siguientes:
CVE-2017-17688, CVE-2017-17689
Solución:Hasta que los fabricantes publiquen las actualizaciones correspondientes, desactivar los plugin de cifrado y descifrado automático de correos electrónicos y realizar estas tareas de cifrado y descifrado manualmente fuera del contexto de los clientes de correo electrónico.
Notas:Electronic Frontier Foundation
CERT Coordination Center Vulnerability Note VU #122919