圖片來源: 

Thunderbird

Mozilla旗下的E-mail客戶端軟體Thunderbird在官方部落格公告,使用者應對EFAIL的方法,Thunderbird建議用戶停用遠端內容,以禁止圖像、樣式表或是影片在E-mail信件中顯示,另外,還特別提到他們不建議用戶停用加密功能,特別是傳送內容屬敏感資料,而新版本Thunderbird 52.8和52.8.1將會修補這個問題。

E-mail端到端加密技術OpenPGP和S/MIME被爆出,因標準定義不夠嚴謹而導致加密郵件以明文曝光的EFAIL漏洞。駭客可以濫用HTML電子郵件的活動內容,像是外部載入的圖像或是樣式,透過請求URL來滲透郵件明文。知名開源E-mail客戶端軟體Thunderbird為此,在部落格發文告知使用者官方推薦的應對方式。

多數EFAIL漏洞的開採需要利用反向通道,且還需要駭客發送一封動過手腳的信件給使用者。因此Thunderbird提到,使用者被攻擊的成立要素有二,第一、使用者有使用S/MIME或是透過Enigmail等擴充套件以PGP加密郵件。第二、駭客能夠存取使用者的加密E-mail。唯有這兩項要素同時具備,使用者才會曝露在EFAIL漏洞風險中。

而使用者在針對EFAIL漏洞修正的新版本Thunderbird 52.8和52.8.1釋出之前,該如何自保?Thunderbird建議用戶在客戶端禁用遠端內容(Remote Content),如此便能防止圖像、樣式表或是影片,在使用者讀取信件時自動載入,Thunderbird表示,這將有助減緩駭客攻擊力道,而Thunderbird原本就預設禁用遠端內容。另外,使用者在讀取含有遠端內容的加密信件時,不要使用現在同意(Allow now)選項載入遠端內容,而且也不應點擊信件中的遠端內容,如此同樣會開啟反向通道。

部分網站提到應停用E-mail加密功能,Thunderbird強調不要停用加密功能,特別是透過E-mail傳送敏感資訊的使用者,加密功能仍然可以提供一定程度的防護效果。而電子前線基金會(Electronic Frontier Foundation,EFF)同樣也在官方網站建議使用者,停用或是解除安裝會自動解密PGP加密郵件的工具就好。


Advertisement

更多 iThome相關內容