Investigadores europeos han descubierto que es posible inyectar código HTML en los correos electrónicos encriptados con los estándares OpenPGP o S/MIME, utilizados por los principales clientes de correo electrónico.
Tal y como han podido demostrar este grupo de investigadores, mediante la inyección de determinado código HTML en un correo cifrado bajo estos estándares sería posible revelar el contenido del mismo en formato de texto a plano a cualquier posible atacante.
De momento no se conoce una posible solución o parche que acabe con la vulnerabilidad, pero desde desde el CERTSI se ofrecen una serie de consejos que puede ayudar a mitigarla:
- Cifrar y descifrar los correos electrónicos con una aplicación independiente a las proporcionadas por los gestores de correo electrónico.
- Deshabilitar la presentación en formato HTML, ya que es bajo este formato donde se puede realizar el posible ataque.
- Deshabilitar la carga de contenido remoto en el gestor de correo.
Toda la información en el sitio web del CERTSI.
Fuente