Meldung

Kritische Lücke in E-Mail-Verschlüsselung gefunden

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird.
Das Nachladen externer Inhalte erlaubt Angreifern den Zugriff auf verschlüsselte E-Mails.
Zur Ausnutzung der Schwachstellen muss ein Angreifer laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) [1] Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von HTML-Code und insbesondere das Nachladen externer Inhalte. Dies sei derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt.

Die Hersteller von E-Mail-Clients hätten diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schütze auch eine sichere Konfiguration. So sollten aktive Inhalte im Mailprogramm deaktiviert sein, wozu auch das Nachladen von HTML-Code und anderer externer Inhalte gehöre. Das BSI ist nach eigener Aussage seit November 2017 durch das genannte Forscherteam in den "Coordinated Vulnerability Disclosure"-Prozess eingebunden worden.
14.05.2018/dr

Tipps & Tools

EC2-Instanzen mit AWS Systems Manager verwalten [19.08.2018]

Für kleinere Administrationsaufgaben auf Amazon-EC2-Instanzen nutzen viele IT-Verantwortliche einen Bastion/Jump-Host. Mit wachsender Nutzung von AWS und entsprechend vielen Instanzen gerät die manuelle Administration aber recht schnell unübersichtlich und aufwändig. An dieser Stelle kann es sinnvoll sein, den Zugriff auf EC2-Instanten mit dem 'AWS Systems Manager' abzuhandeln. [mehr]

Wasserpistole mit PET-Anschluss [18.08.2018]

Wenn Sie es satt haben, auf dem Sommerfest von den Kollegen sowie den anwesenden Kids im sprichwörtlichen Sinn nass gemacht zu werden, steht mit der ausgeklügelten Profi-Wasserspritze ein passendes Gadget zur Gegenwehr zur Verfügung. Die Wasserpistole setzt Standard-PET-Flaschen als Tank ein und ist somit durch einen schnellen Wechsel ständig in Bereitschaft. [mehr]

Buchbesprechung

VoIP Praxisleitfaden

von Jörg Fischer und Christian Sailer

Anzeigen