Uvedkommende kan endre signert e-post

Et sikkerhetshull lar hackere klusse med signerte epost i flere frie e-postklienter.

I advarsler fra henholdsvis Gnu Privacy Guard (GnuPG) og IT-sikkerhetsselskapet Core Security (se GnuPG and GnuPG clients unsigned data injection vulnerability) heter det at flere e-postklienter som distribueres fritt, blant dem KMail og Evolution, samt Enigmail-utvidelsen til Mozilla, er utsatt for et sikkerhetshull som lar uvedkommende klusse med signerte meldinger.

Det innebærer at uvedkommende kan legge ny tekst i signert e-post, samt signert og kryptert e-post, slik at mottakeren oppfatter at også tilleggsteksten dekkes av signaturen, heter det.

Det samme sikkerhetshullet gjør det mulig for en angriper å omgå spamfiltre og andre former for innholdsfiltrering.

Sikkerhetshullet rammer GnuPG, et fritt alternativ til PGP («Pretty Good Privacy») som er nedfelt i flere frie e-postklienter.

Noen klienter er allerede utstyrt med en feilfiks. Core Security tilbyr en metode for å omgå feilen.

Til toppen