プレーンテキストモードは電子メールマルウェアに対する完全な保護を提供しますか？

Question

私の知る限り、マルウェアは、添付ファイルまたはユーザーが故意に開いたリンクを介して、およびJavaScript（有効になっている場合）またはHTMLエンジンの電子メールクライアントの脆弱性を介して、電子メールメッセージで拡散する可能性があります。したがって、ユーザーを考慮します：

悪質なメールのリンクをクリックしたり、添付ファイルを開いたりしません。
JavaScriptの実行を無効にします。
プレーンテキストモードを有効にします。

これにより、電子メールマルウェアに対する完全な保護が提供されますか？これは、誰かが使用しているメールクライアントに依存していますか？（例：サンダーバード、進化）。プレーンテキストモードでも、電子メールクライアントの脆弱性が悪用される可能性はありますか？

Trey Blalock · Accepted Answer

完全な保護ではない、それだけでは十分ではありませんが、効果的な攻撃の数を少し減らします。

一例として、テキストのみの電子メールリーダー Mutt を取り上げます。影響を与えるCVEとして文書化されている脆弱性がいくつかあります。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-268

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1558

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3242

HTML解析に必要なすべての処理を実行するよりも処理がはるかに簡単であることを考えると、HTMLベースのクライアントよりも攻撃するのはおそらく難しいですが、依然として脆弱性が発生します。

とは言っても、Muttはグローバルな電子メールクライアントエコシステムで少数のシェアを持っているため、Muttを狙っている攻撃者が少ないことも指摘しておきます。それがより人気があった場合、より多くのセキュリティ研究者と攻撃者がそれを標的とし、より多くの脆弱性が発見される可能性があります。

HTMLベースのクライアントをテキストのみのモードで使用する場合、テキストのみのモードを使用して攻撃対象を減らす可能性がありますが、実際には特定の攻撃方法に依存します。これは100％の保護を提供するわけではありませんが、理論的には攻撃面をいくらか減らしています。

最後に、HTMLベースのクライアントをターゲットとするエクスプロイトのほとんどすべてが、Muttのようなテキストのみのブラウザーで安全に開かれる可能性がありますが、これが100％であるとは決して想定できません。 100％安全なものはありません。

gowenfawr · Answer

HTMLとJavascriptが発明されるまで、攻撃者は電子メール爆弾で ANSIエスケープコードを使用していました。

Silly：端末を点滅するテキストのレインボーに変えるなど

Annoying：端末をガンアップしているため、リセットしないと使用できません

恥ずかしい：研究室の中で、VT-100がシャットダウンしない人になりたくない

コードの実行が製品であったことはわかりませんが、termcapのmanページで誰かが受ける被害を過小評価しないでください。

Steffen Ullrich · Answer

「プレーンテキストモード」は通常、メールの構成のみをカバーします。つまり、ユーザーがメールをHTMLではなくプレーンテキストとして送信します（すべてのフォーマットを使用）。ただし、受信メールの表示には影響しません。プレーンテキストモードでも、埋め込み画像や添付ファイルを含むHTMLメールがそのまま表示されます。したがって、これは追加の保護を提供しません。