Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Technischer Sicherheitshinweis

02.05.2019 - TW-T19-0058

Mehrere Schwachstellen in E-Mail Programmen ermöglichen Umgehen von Sicherheitsvorkehrungen

Art der Meldung: Sicherheitshinweis

Risikostufe 2

Betroffene Systeme:

  • Apple iOS
  • Microsoft Outlook 2016
  • Microsoft Windows 10
  • Mozilla Thunderbird

Empfehlung:

Das BürgerCERT empfiehlt, die E-Mail-Client-Software durch regelmäßige Updates auf dem aktuellsten Stand zu halten, sowie aktive Inhalte im E-Mail-Client zu deaktivieren. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.

Beschreibung:

Thunderbird ist ein Open Source E-Mail Client.

Outlook ist ein Personal Information Manager von Microsoft und ist Bestandteil der Office Suite.

Mutt ist ein textbasiertes E-Mail-Programm für Unix und andere Unix-artige Betriebssysteme.

Outlook Web Access (OWA) ist eine von Microsoft verwendete Technik zum Zugriff auf E-Mail-Postfächer eines Exchange Servers über das Internet.

Zusammenfassung:

Es bestehen Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann. Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt. Für einen Angriff werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt, sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.

Quellen: