เมื่อวานนี้มีรายงานถึงช่องโหว่ EFAIL ตอนนี้รายละเอียดก็ออกมาแล้ว โดยปัญหาสำคัญคือโปรแกรมเมลและปลั๊กอินสำหรับถอดรหัส PGP นั้นทำงานผิดพลาดที่ไม่ตรวจสอบสถานะการถอดรหัส ประกอบการโปรแกรมเมลเมื่อรับอีเมลเป็น HTML มักจะเรนเดอร์ HTML ทันที การโจมตี EFAIL อาศัยช่องว่างนี้นำข้อความเข้ารหัสที่อ่านไม่ได้ ไปวางไว้ในอีเมลอีกฉบับ โดยทำเป็น URL ของภาพ ทำให้โปรแกรมอีเมลพยายามเรนเดอร์อีเมลและส่ง request ไปยังเซิร์ฟเวอร์ของแฮกเกอร์ คำแนะนำระหว่างนี้คือผู้ที่ใช้อีเมลเข้ารหัสควรปิดการเรนเดอร์ HTML ในโปรแกรมอีเมล และรอแพตช์จากผู้ผลิตต่อไป ที่มา - efail.de, gnupg-users Topics: SecurityPGP