Und immer noch der gleiche mist von der EFail Seite. – Hier was wirklich der Fall ist.

Wurden die Entwickler von GnuPG nicht informiert?
> November 2017 wurden die betroffenen Projekte informiert.
Was richtig ist:
Werner Koch (alleine) wurde im im November 2017 mit der aussage kontaktiert, dass GPG Fehler in MDC nicht korrekt weitergibt. Koch antwortete darauf, dass Sein Library korrekter weise Fehler aus gibt. (Die Mail enthält kein Wort darüber, dass das Problem ist, dass Outlook und Thunderbird/enigmail die lib gar nicht nutzen und den Fehler im Commandline-Tool ignorieren.)
Ihm wurde des weiteren ausdrücklich untersagt die entsprechend verantworklichen Leute anzuschreiben.
(Ich nehme stark an, dass die Leute von E-Fail da noch keinen blassen Schimmer hatten wie man die Lücke wirklich ausnutzen kann.)
Erste konkrete und korrekte Angaben zum Angriff gab es erst im Februar an die enigmail-Leute. Die bauten ein Workaround für den vorgestellten Angriff und Thunderbird wollte das Problem bis im Juni endgültig behoben haben.
Dann kam im Mai die Veröffentlichung mit einem weiteren Angriff der den Workaround umging ohne weitere Ankündigungen.
Die meisten anderen Projekte bekamen gar keine Infos.

Handelte es sich nur um Bugs in E-Mail-Clients?
> Dass verschlüsselte Nachrichten manipuliert werden können, liegt an den verwendeten Verschlüsselungsverfahre
Das ist zwar richtig. Aber beide Verfahren waren sich dessen von Anfang an bewusst. beide Verfahren setzen auf Signaturen um Manipulationen zu verhindern. Diese sind nicht gebrochen. Ein zusätzlicher Manipulationsschutz in der Verschlüsselung ist deswegen erstmal unnötig. Problematisch wird das nur wenn Mailclienten trotz kaputter oder nicht vertrauenswürdiger Signatur geheime Inhalte weitergeben. Oder Kurz: Wenn ein Client eine Remote-Executrion-Lücke hat.

Was ist das Problem mit der GnuPG-API?
> Zunächst muss man wissen, dass GnuPG keine Bibliothek bereitstellt.
Geht man auf die Seite von GnuPG und drückt auf Software wird (und wurde) man gefragt ob man eine Library, ein Frontend oder Tool haben will. Jetzt ratet mal was kommt, wenn man auf Library klickt? Eine Library in C und diverse Links auf Librarys in allen anderen erdenklichen Sprachen. Daneben diverse Low Level Crypto APIs. Wenn man auf Frontend klickt bekommt man natürlich ein Frontend. Dabei aber auch einige die ein Fest definiertes Netzwerkprotokoll haben. Wer das Kommandozeilentool falsch benutzt ist selbst schuld.

Reicht es, externe Inhalte zu blockieren?
> Doch es gibt andere denkbare Szenarien.
> […] den verschlüsselten Mailinhalt in einem HTML-Formular platzieren und dann an den Angreifer schicken kann […] So ließe sich auch eine PDF konstruieren, die externe Inhalte nachlädt.
Also andere Szenarien zum nachladen von externen Inhalten sind das nachladen von externen Inhalten oder das nachladen von externen Inhalten. – Klar.