JVNVU#95575473: OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性JVNVU#95575473 OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性 OpenPGP および S/MIME をサポートする電子メールクライアントには、攻撃者が細工したコンテンツを挿入した暗号化メールをユーザのメールクライアントで復号させることにより、平文を送信するためのチャネルを確立することが可能です。発見者はこの脆弱性を用いた攻撃を "CBC/CFB gadget attack" と呼んでいます。例えば HTML image タグを挿入させることにより、復号されたメッセージが HTTP リクエストの一部として送信されてしまう可能性があります。 CVE-2017-17688: OpenPGP CFB Attacks CVE-2017-17689: S/MIME CBC Attacks また、一部のメールクライアントでは、マルチパートの
