EFAIL (original) (raw)
Efail (Eigenschreibweise: EFAIL) sind zwei Sicherheitslücken in E-Mail-Systemen, mit denen Inhalte, trotz einer Ende-zu-Ende-Verschlüsselung, ausgelesen werden können. Die Lücken sind bei den beiden dafür üblichen Formate OpenPGP und S/MIME ausnutzbar. In Folge der Sicherheitslücken können Angreifer den Klartext verschlüsselter E-Mails nach der Entschlüsselung aus betroffenen E-Mail-Clients ausschleusen und an einen von ihnen kontrollierten Server übertragen. Die verwendeten Schlüssel werden nicht preisgegeben. Voraussetzung für einen erfolgreichen Angriff ist, dass das verwendete Verschlüsselungsverfahren angreifbar ist und das E-Mail-Programm aktive Inhalte wie bspw. HTML oder JavaScript ausführt und externe Inhalte nachlädt.
| Property | Value |
|---|---|
| dbo:abstract | Efail (Eigenschreibweise: EFAIL) sind zwei Sicherheitslücken in E-Mail-Systemen, mit denen Inhalte, trotz einer Ende-zu-Ende-Verschlüsselung, ausgelesen werden können. Die Lücken sind bei den beiden dafür üblichen Formate OpenPGP und S/MIME ausnutzbar. In Folge der Sicherheitslücken können Angreifer den Klartext verschlüsselter E-Mails nach der Entschlüsselung aus betroffenen E-Mail-Clients ausschleusen und an einen von ihnen kontrollierten Server übertragen. Die verwendeten Schlüssel werden nicht preisgegeben. Voraussetzung für einen erfolgreichen Angriff ist, dass das verwendete Verschlüsselungsverfahren angreifbar ist und das E-Mail-Programm aktive Inhalte wie bspw. HTML oder JavaScript ausführt und externe Inhalte nachlädt. Die Sicherheitslücken wurden von Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky und Jörg Schwenk am 13. Mai 2018 als Beitrag zum 27th USENIX Security Symposium, Baltimore, August 2018, eingereicht und öffentlich gemacht. (de) Efail, also written EFAIL, is a security hole in email systems with which content can be transmitted in encrypted form. This gap allows attackers to access the decrypted content of an email if it contains like HTML or JavaScript, or if loading of has been enabled in the client. Affected email clients include Gmail, Apple Mail, and Microsoft Outlook. Two related Common Vulnerabilities and Exposures IDs, CVE-2017-17688 and CVE-2017-17689, have been issued. The security gap was made public on 13 May 2018 by Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky and Jörg Schwenk as part of a contribution to the 27th USENIX Security Symposium, Baltimore, August 2018. As a result of the vulnerability, the content of an attacked encrypted email can be transmitted to the attacker in plain text by a vulnerable email client. The used encryption keys are not disclosed. (en) |
| dbo:thumbnail | wiki-commons:Special:FilePath/Efail_logo.svg?width=300 |
| dbo:wikiPageExternalLink | http://attacker.chosen.url/ https://efail.de/efail-attack-paper.pdf https://efail.de/ https://web.archive.org/web/20180521114951/https:/efail.de/efail-attack-paper.pdf |
| dbo:wikiPageID | 57415935 (xsd:integer) |
| dbo:wikiPageLength | 9412 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1115665442 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:S/MIME dbr:Gadget_(machine_instruction_sequence) dbr:Mail_(Apple) dbr:Electronic_Frontier_Foundation dbr:Encrypted dbr:Gmail dbc:Computer_security_exploits dbr:Common_Vulnerabilities_and_Exposures dbr:Email dbr:Email_encryption dbr:HTML_tag dbr:USENIX dbr:Cipher_block_chaining dbr:HTML_email dbr:Danny_O'Brien_(journalist) dbc:Email_hacking dbr:JavaScript dbr:Ciphertext dbr:Microsoft_Outlook dbr:OpenPGP dbr:Cipher_feedback_mode dbr:Security_hole dbr:Active_content dbr:External_content dbr:File:Efail_logo.svg |
| dbp:cs1Dates | y (en) |
| dbp:date | July 2019 (en) |
| dbp:wikiPageUsesTemplate | dbt:CVE dbt:Cite_web dbt:Reflist dbt:Short_description dbt:Use_dmy_dates dbt:Hacking_in_the_2010s |
| dcterms:subject | dbc:Computer_security_exploits dbc:Email_hacking |
| rdfs:comment | Efail (Eigenschreibweise: EFAIL) sind zwei Sicherheitslücken in E-Mail-Systemen, mit denen Inhalte, trotz einer Ende-zu-Ende-Verschlüsselung, ausgelesen werden können. Die Lücken sind bei den beiden dafür üblichen Formate OpenPGP und S/MIME ausnutzbar. In Folge der Sicherheitslücken können Angreifer den Klartext verschlüsselter E-Mails nach der Entschlüsselung aus betroffenen E-Mail-Clients ausschleusen und an einen von ihnen kontrollierten Server übertragen. Die verwendeten Schlüssel werden nicht preisgegeben. Voraussetzung für einen erfolgreichen Angriff ist, dass das verwendete Verschlüsselungsverfahren angreifbar ist und das E-Mail-Programm aktive Inhalte wie bspw. HTML oder JavaScript ausführt und externe Inhalte nachlädt. (de) Efail, also written EFAIL, is a security hole in email systems with which content can be transmitted in encrypted form. This gap allows attackers to access the decrypted content of an email if it contains like HTML or JavaScript, or if loading of has been enabled in the client. Affected email clients include Gmail, Apple Mail, and Microsoft Outlook. As a result of the vulnerability, the content of an attacked encrypted email can be transmitted to the attacker in plain text by a vulnerable email client. The used encryption keys are not disclosed. (en) |
| rdfs:label | Efail (de) EFAIL (en) |
| owl:sameAs | wikidata:EFAIL dbpedia-de:EFAIL https://global.dbpedia.org/id/7Brxy |
| prov:wasDerivedFrom | wikipedia-en:EFAIL?oldid=1115665442&ns=0 |
| foaf:depiction | wiki-commons:Special:FilePath/Efail_logo.svg |
| foaf:homepage | http://Efail.de |
| foaf:isPrimaryTopicOf | wikipedia-en:EFAIL |
| is dbo:wikiPageDisambiguates of | dbr:Efail |
| is dbo:wikiPageRedirects of | dbr:CVE-2017-17688 dbr:CVE-2017-17689 dbr:Efail_(security_vulnerability) |
| is dbo:wikiPageWikiLink of | dbr:Pretty_Good_Privacy dbr:S/MIME dbr:CVE-2017-17688 dbr:CVE-2017-17689 dbr:HTML_email dbr:Efail dbr:Efail_(security_vulnerability) |
| is foaf:primaryTopic of | wikipedia-en:EFAIL |
