Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades en OpenPGP y S/MIME en los clientes de correo

Fecha de publicación 15/05/2018
Importancia
4 - Alta
Recursos Afectados

La mayoría de implementaciones OpenPGP y S/MIME en los clientes de correo más populares.

Descripción

Los clientes de correo electrónico que soporten OpenPGP y S/MIME pueden permitir una fuga de información de los correos cifrados si el cliente de correo de la víctima permite el procesamiento de contenido HTML.

Solución

Actualmente no existe una solución para estas vulnerabilidades pero sí medidas que mitiguen sus efectos:

  • Descifrar los correos fuera del cliente de correo. Al usar una aplicación independiente al cliente de correo electrónico se evita que este pueda realizar la fuga de información.
  • Deshabilitar la presentación en formato HTML. Evitando que el cliente de correo presente el contenido en formato HTML se evitará el principal canal de fuga de información.
  • Deshabilitar la carga de contenido remoto. Evitar que el cliente de correo cargue contenido remoto impide el principal medio de fuga de información.
Detalle

Varios investigadores han descubierto que los clientes de correo electrónico que implementan los estándares  OpenPGP o S/MIME pueden permitir que un atacante inyecte contenido HTML que puede servir como canal para la fuga de información ya que al interpretar el código HTML el cliente puede enviar texto plano en las peticiones HTTP realizadas.

Además los clientes de correo que no aíslan las múltiples partes MIME pueden permitir que un atacante encapsule etiquetas HTML que al ser descifradas permitirían concatenar texto plano en la URL y la fuga de información al realizar la petición HTTP(S).

Para estas vulnerabilidades se han reservado los identificadores CVE-2017-17688 y CVE-2017-17689.

Encuesta valoración