Sicherheitsfunktionen nützen wenig, wenn sie falsch benutzt werden. Ein derartiges Problem hat der Sicherheitsdienstleister Core Security gemeldet: Mehrere E-Mailclients rufen das Open-Source Verschlüsselungsprogramms GnuPG nicht richtig auf, sodass sich Texte in eine signierte Mail nachträglich einfügen lassen, ohne dass es beim Anzeigen im Client eine Warnung gibt. Ein Anwender kann auf der ersten Blick nicht feststellen, welche Teil einer Mail signiert ist und welcher nicht. Angreifer könnten dies ausnutzen, um einem Opfer gefälschte Texte unterzuschieben. Sofern die Signatur in einer separaten Datei abgelegt (detached) ist, ist eine Manipulationen allerdings nicht möglich.
Die Ursache des Problems liegt in der vereinfachten Abfrage der von GnuPG gelieferten Informationen zu Signaturen. Um erweiterte Informationen zu erhalten, müsste der Mailclient GnuPG mit der Option --status-fd aufrufen. Leider unterlassen viele Clients diese genauere Prüfung. Dazu gehören Enigmail, KMail, Evolution, Sylpheed, Mutt und GNUMail. Ganz neu ist dieses Problem nicht; schon im Februar 2006 ließ GnuPG unter Umständen ungültige Signaturen durchrutschten, wenn die Option --status-fd nicht benutzt wurde. Einen Monat später wurde bekannt, dass GnuPG, wie im vorliegenden Fall, eingefügte unsignierte Daten nicht immer erkannte.
Core Security hat die Hersteller der genannten Clients über das Problem informiert, einige haben auch bereits reagiert und arbeiten an Patches. Auch die Entwickler von GnuPG haben an einer Lösung gearbeitet, um das Problem der fehlenden oder falschen Option endgültig aus der Welt zu schaffen. Laut des Fehlerberichts von Werner Koch sollen mit GnuPG 1.4.7 und 2.0.3 auch fehlerhafte Mailclients ein ungültige Signatur oder eingefügte Texte erkennen können. Patches für die GPME-Versionen 1.1.3, 1.1.2 und GnuPG 1.4.6 stehen ebenfalls bereit.
Siehe dazu auch:
* Multiple Messages Problem in GnuPG and GPGME, Fehlerbericht von GnuPG
* GnuPG and GnuPG clients unsigned data injection vulnerability, Fehlerbericht von Core Security
Quelle und Links :
http://www.heise.de/security/news/meldung/86284
