メール暗号化プロトコルに平文を抽出する脆弱性のEFAILを確認
メール暗号化プロトコルに平文を抽出する脆弱性のEFAILが確認された。暗号化プロトコルのOpenPGP 及び S/MIME にはメッセージを復元する際に平文を抽出する脆弱性のEFAILが存在する。
影響を受けるのは OpenPGP および S/MIME をサポートする電子メールクライアントで、複数のメールクライアントが影響する。
この脆弱性が悪用されると、攻撃者に送信した暗号化されたメッセージをメールクライアントが復号し、指定されたURLから外部コンテンツをロードして平文を盗取される恐れがある。例えば不正な HTML image タグを挿入することでPGPやS/MIMEで暗号化されたメッセージを復元したメッセージが HTTP リクエストとして送信される恐れがある。
この脆弱性に対する解決策はないとして、メールクライアントとは別のアプリケーションでの暗号化メール復元やメールクライアントの HTML レンダリング無効化、メールクライアントのリモートコンテンツの読み込み無効化などの軽減策を行うよう推奨している。
