Intressanta nya kryptobuggar

På senare tid har minst två intressanta kryptobuggar uppdagats. Den första som jag tycker var intressant är den som tyska SEC Consult uppdagade i Outlooks hantering av .

The impact is that a supposedly S/MIME encrypted mail can be read without the private keys of the recipient

Denna krypto-bugg som drabbar har funnits i cirka 6 månader. Och förevisas rätt uppenbart med följande bild:

Den andra intressanta buggen är den som Apple introducerade i samband med att en krypterad disk uppgraderas från till eller skapas på nytt via . Där visas ditt riktiga lösenord som lösenordstips istället för själva tipset. Apple var som tur snabba och släppte en uppdatering. Även så passade Apple på att fixa sårbarheten jag skrev om för några dagar sedan.

Buggen har och förevisas här av Matheus Mariano:

Tittar vi på koden så ser det ut att vara ett klassiskt kopiera-och-klistra problem:Bildkälla

Uppdatering: Microsoft har släppt en uppdatering och buggen har fått en CVE: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/

Tipstack till läsaren Mikael Thurberg.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

3 comments

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>