Tags:
Node Thumbnail

Sebastian Schinzel นักวิจัยความปลอดภัยจาก Münster University of Applied Sciences พบช่องโหว่ความปลอดภัยของระบบ PGP และ S/MIME ที่ใช้เพื่อการส่งอีเมลเข้ารหัสซึ่งเป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย

นักวิจัยที่ค้นพบช่องโหว่เผยว่า ช่องโหว่ที่ค้นพบล่าสุดนี้มีโอกาสที่จะแสดง plaintext ของข้อความเข้ารหัสที่เข้ารหัสแล้วออกมาได้ ซึ่งรวมถึงข้อความเข้ารหัสที่มีการส่งในอดีตด้วย และตอนนี้ยังไม่มีวิธีแก้ปัญหาดังกล่าว

คำแนะนำของทีมที่ค้นพบคือ ผู้ที่ใช้เครื่องมือถอดรหัสข้อความอัตโนมัตินั้นควรจะหยุดการใช้งานทันที โดยลบทิ้งหรือสั่งระงับการใช้งานชั่วคราวก่อน ซึ่งตอนนี้ EFF ได้ออกคำเตือนแล้วว่าควรใช้ช่องทางการติดต่อสื่อสารที่มีความปลอดภัยช่องทางอื่นแทนในระหว่างที่ระบบยังไม่มีแพทซ์ พร้อมรายงานวิธีปิดเครื่องมือปลั๊กอิน PGP ที่ใช้งานกับอีเมลไคลเอนท์ต่าง ๆ ด้วย เช่น Enigmail บน Thunderbird, GPGTools บน Apple Mail, Gpg4win บน Microsoft Outlook

งานวิจัยเรื่องความปลอดภัยของเรื่องนี้จะเปิดเผยในวันอังคารเวลา 7 นาฬิกาตามเวลา UTC หรือประมาณบ่ายสองตามเวลาท้องถิ่นประเทศไทย

ที่มา - TechCrunch, EFF

อัพเดต 15 พฤษภาคม 9:56: เว็บไซต์อื่นเช่น Errata Security เพิ่มเติมจากการทดสอบของทางเว็บไซต์ว่า ช่องโหว่นี้เปิดให้ผู้ดักข้อความสามารถส่งข้อความกลับมาที่ผู้ใช้และปรับรูปแบบใหม่ให้ผู้ดักฟังสามารถถอดรหัสได้ ซึ่งทางเว็บไซต์นี้แนะนำให้ปิดฟีเจอร์ดาวน์โหลดคอนเทนต์ภายนอกอัตโนมัติแทนที่จะปิด PGP ส่วน GNU ออกมารายงานว่าโครงการ GnuPG และ Gpg4win นั้นไม่มีช่องโหว่ แต่เกิดจากตัวอีเมลไคลเอนท์เอง และตอนนี้เริ่มมีชื่อเล่นสำหรับเรียกช่องโหว่นี้แล้วว่า Efail

No Description

ภาพจาก Pixabay

Get latest news from Blognone

Comments

By: kong
WriterAndroidUbuntuWindows
on 15 May 2018 - 00:21 #1049433
kong's picture

Errata Security บอกว่าจริงๆ ไม่ต้อง disable PGP ก็ได้ครับ แค่ปิดฟีเจอร์โชว์ Remote/External content ก็พอ

อัพเดตเพิ่มเติม Official Statement สรุปคร่าวๆ คือประมาณว่า ไม่ใช่ช่องโหว่ของ OpenPGP แต่เป็นที่ "buggy email client" 😮


suksit.com

By: McKay
ContributorAndroidWindowsIn Love
on 15 May 2018 - 07:18 #1049471 Reply to:1049433
McKay's picture

ฮา eFail


In Soviet Warcraft, Argus comes to you.

By: nutmos
WriteriPhoneUbuntuWindows
on 15 May 2018 - 09:59 #1049509 Reply to:1049433

ขอบคุณสำหรับข้อมูลเพิ่มเติมครับ

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 15 May 2018 - 08:53 #1049495
xenatt's picture

โชคดีที่ไม่ใช่รั่วที่ gpg pgp แต่เป็นที่ mail client
ข่าวนี้ไม่ตลกนะ ไม่ส่งเมล์ด้วย gpg pgp แต่ไฟล์ นี่ sign ไว้เยอะขี้เกียจทำใหม่หมด


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project