GnuPG, Wikimedia Commons
Maja je tehnični članek, ki ga je objavil EFAIL, spodbudil uporabnike, naj prenehajo uporabljati vtičnike GNU Privacy Guard (GPG), ko želijo šifrirati e-pošto. Tako kot pri mnogih odprtokodnih izdelkih, ki so jih izdelali razvijalci GNU, tudi GPG pogosto uporabljajo tisti, ki GNU / Linux poganjajo v namiznem ali prenosnem okolju, kar je prispevalo k zaskrbljenosti.
Fundacija Electronic Frontier je v zadnjem mesecu izrazila zaskrbljenost zaradi številnih novih ranljivosti v programski opremi GPG, ki so številne strokovnjake za varnost Linuxa opozorile na stališča, izražena v prispevku. Nekaj strokovnjakov za GNU / Linux je šlo tako daleč, da je preprosto predlagalo, da šifrirane e-pošte nikoli ne moremo šteti za varno.
Na srečo so odprtokodni strokovnjaki pred kratkim objavili nadaljnja priporočila, ki bodo morda bolj ustrezala tistim, ki so se zanašali na orodja GPG za pošiljanje šifrirane e-pošte drugim uporabnikom GNU / Linux. Strokovnjaki so že v četrtek izjavili, da je vsak odjemnik pošte, ki upodobi HTML, samodejno naloži slike ali sprejme oddaljene medije brez dovoljenja, tisto, kar dejansko povzroča te ranljivosti. Težava pa je v tem, da se zdi, da jih mnogi niso izkoristili.
Enigmail, priljubljeni vtičnik GPG, zasnovan za delo s storitvijo Thunderbird, je posodobitev prejel kmalu po tem, ko je bilo poročilo EFAIL objavljeno v javnosti. Od danes, 9. junija, mnogi uporabniki, ki poganjajo Thunderbird v GNU / Linux, še niso namestili omenjene posodobitve, čeprav je bila posodobitev na tej točki stara skoraj mesec dni. Ker se ti vtičniki pogosto ne posodabljajo, ko se repozitorijski paketi uporabljajo, so tisti, ki uporabljajo vse najnovejše pakete od začetka junija v Debianu ali Ubuntuju, še vedno v nevarnosti, če si niso vzeli časa za ročno posodobitev vtičnika, tudi če ste seznanjeni z vsemi drugimi nadgradnjami.
Najnovejši seznam priporočil je zapisal, da bo onemogočanje upodabljanja HTML in nalaganja slik premagalo večino ranljivosti, ki pravzaprav niso neposredno povezane s samim paketom GPG. Zanimivo je, da razvijalci podjetja Engimail zdaj dajejo tudi to priporočilo, saj onemogočena podpora za HTML skupaj s šifriranjem omogoča veliko varnejšo izkušnjo e-pošte.
Zanimivo je, da ker morajo napadalci posebej ciljati šifrirano e-pošto, bi večja količina šifrirane e-pošte, poslane po internetu, pomagala zmanjšati tveganje, da bi ciljni napadi delovali.
Oznake Varnost Linuxa
