EFAIL：PGP/GPG和S/MIME漏洞预警

报告编号： B6-2018-051401

报告来源： 360-CERT

报告作者： 360-CERT

更新日期： 2018-05-14

0x01 事件描述

日前，360-CERT监测到欧洲安全研究人员公布的一系列影响PGP/GPG 和 S/MIME的漏洞预警，并将2处漏洞命名为EFAIL，目前作者已经提前披露相关细节（原计划在北京时间2018-05-15 15:00 公布）,EFF已经确认漏洞真实存在。

360-CERT团队进行评估，认为漏洞风险等级高，影响广泛，建议用户参照相关缓解措施进行防御，360-CERT会对漏洞进行具体跟进。

该漏洞，现已分配的CVE编号为CVE-2017-17688和CVE-2017-17689。因为影响多个客户端，未来将会有更多与该漏洞相关的CVE编号。

0x02 漏洞描述

漏洞有两种攻击方式：

攻击者精心构造一个电子邮件发送给受害者，受害者客户端解析不当会将邮件明文泄露给攻击者。

其次，可以通过OpenPGP和S / MIME规范中的漏洞来泄漏邮件内容。

0x03 漏洞影响面

漏洞由协议算法实现不当造成的，目前没有针对该漏洞的修复补丁。漏洞影响所有自动解密PGP加密电子邮件的工具，受影响用户十分广泛。

0x04 安全建议

目前没有针对该漏洞的修复补丁，所以在漏洞修复之前，请广大用户立即禁用或卸载自动解密 PGP加密电子邮件的工具。不要阅读PGP加密的邮件。

同时请阅读以下指南，暂时禁用PGP插件以降低受攻击的可能：

• 雷鸟用户缓解措施【https://www.eff.org/deeplinks/2018/05/disabling-pgp-thunderbird-enigmail】
• Apple Mail用户缓解措施【https://www.eff.org/deeplinks/2018/05/disabling-pgp-apple-mail-gpgtools】
• outlook用户缓解措施【https://www.eff.org/deeplinks/2018/05/disabling-pgp-outlook-gpg4win】

0x05 时间线

2018-05-14 研究人员公布漏洞

2018-05-14 360-CERT对漏洞进行评估，发布预警通告

0x06 参考链接

1. 漏洞公布的twitter

2. EFF对漏洞给出的缓解措施

3. 相关信息

4. 漏洞信息