Vigil@nce - Enigmail : usurpation via Unsigned Parts Displayed Signed
mars 2020 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/?langue=1
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer des données usurpées via Unsigned Parts
Displayed Signed de Enigmail, afin de tromper la victime.
Produits concernés : Fedora, openSUSE Leap, SLES.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de
données, effacement de données.
Provenance : document.
Confiance : confirmé par l’éditeur (5/5).
Date de création : 22/01/2020.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Enigmail signe ses données afin de les authentifier.
Cependant, des données peuvent être modifiées sans changer la
signature.
Un attaquant peut donc créer des données usurpées via Unsigned
Parts Displayed Signed sur Enigmail, afin de tromper la victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Enigmail-usurpation-via-Unsigned-Parts-Displayed-Signed-31391