AppleMail中的HTML呈现漏洞可以以纯文本形式显示加密的电子邮件

今早详细介绍了在AppleMailforiOS和macOS中发现的HTML渲染漏洞，这些漏洞使无良的攻击者能够从加密的电子邮件中获取解密的纯文本。计算机安全教授塞巴斯蒂安·辛泽尔(SebastianSchinzel)昨天发表了一篇有关此漏洞的研究论文，称为EFAIL。

此漏洞的全部含义是什么?

简而言之，此漏洞允许攻击者显示某人的加密电子邮件的明文，而无需发送者的私有加密密钥，包括过去发送的加密电子邮件。为了使攻击继续进行，邪恶的一方必须拥有您的加密S/MIME或PGP电子邮件。

它涉及使用特制的图像标签以及一串加密的文本。这种组合会使AppleMailforiOS和macOS解密加密邮件的内容。打开加密的电子邮件会提示客户端从攻击者控制的域中加载指定的图像，这使他们可以获取解密邮件的副本。

此问题还影响MozillaThunderbird电子邮件客户端的用户。

有多严重?

本杰明·梅奥(BenjaminMayo)讨论了此缺陷的潜在后果：

攻击依赖于首先联系发送加密电子邮件的同一个人。无法发电子邮件给某人，让服务器接收已解密内容流。如果电子邮件是群聊的一部分，则可能会破坏通信，因为攻击者只需要锁定链中的一个人即可进行解密。

除了HTML呈现问题外，研究人员还发布了对S/MIME标准规范本身的更多技术利用，这不仅影响了苹果公司，还影响了20多位客户。长期而言，全面修补此特定漏洞将需要更新基础电子邮件加密标准。

电子前沿基金会对此表示敬意：

EFF已与研究团队保持联系，并且可以确认这些漏洞对那些使用这些工具进行电子邮件通信的人员构成了直接风险，包括潜在暴露过去消息的内容。

此错误仅影响使用PGP/GPG和S/MIME电子邮件加密软件的用户，该软件使没有加密密钥的邮件不可读。商业用户通常依靠加密来防止窃听其电子邮件通信。

但是，大多数电子邮件都是未加密的。

如何保护自己

一个临时的解决办法：删除GPGTools/GPGMail加密插件从苹果在MacOS邮件(垃圾的GPGMail.mailbundle从/资源库/邮件/捆绑或〜/资源库/邮件/捆绑)。

作为更极端的措施，请禁用emote内容获取：切换Mail中的“在邮件中加载远程内容”以获取macOS首选项，并切换Mail中的“加载远程图像”以获取iOS。

Apple可能会针对此严重缺陷发布紧急修复程序，因此请保持关注并密切注意这一空间，因为我们承诺将使您始终处于困境。

同时，通过在下面留下评论，让我们知道您对AppleMail和其他电子邮件客户端中此新发现的漏洞的看法。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！