Thunderbird speicherte OpenPGP-Schlüssel unverschlüsselt

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37136
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Thunderbird speicherte OpenPGP-Schlüssel unverschlüsselt

Beitrag von doelf »

Mit der Version 78.2.1 hatte der quelloffene E-Mail-Client Thunderbird im August 2020 seine verspätete OpenPGP-Unterstützung erhalten und die funktionierte bis März 2021 auch recht gut. Doch dann hatte sich in der Version 78.8.1 ein kapitaler Bock (CVE-2021-29956) eingeschlichen, welcher nun im neuen Thunderbird 78.10.2 behoben wurde.

Das Problem: Thunderbird 78.8.1 bis 78.10.1 speichern die geheimen OpenPGP-Schlüssel auf der lokalen Festplatte ohne jeglichen Schutz im Klartext. Eigentlich sollte das Master-Passwort die geheimen Schlüssel schützen, doch das funktionierte nur bis zur Version 78.8.0. Danach hatte sich ein Fehler eingeschlichen, der ausgerechnet die OpenPGP-Schlüssel aussparte. Mit dem Thunderbird 78.10.2 wird der Schutz für bereits gespeicherte als auch für neu importiere Schlüssel wiederhergestellt. Die Entwickler haben CVE-2021-29956 als geringe Gefahr eingestuft, was so einige Leser irritieren dürfte. Um an die Schlüssel zu gelangen, muss ein Angreifer zunächst zwar einen anderen Weg auf das System seines Opfers finden, dennoch stellt eine solche Klartextspeicherung keine Bagatelle dar. Wenn ein Nutzer derart vorgeht, würde man ihm Fahrlässigkeit vorwerfen.

Mit CVE-2021-29957 wurde im Thunderbird 78.10.2 auch ein zweites OpenPGP-Problem repariert, das allerdings tatsächlich vergleichsweise harmlos ausfällt: Es geht um MIME-kodierte E-Mails, die nur teilweise verschlüsselt sind. Der Thunderbird hätte bei solchen Mails auf die unvollständige Verschlüsselung hinweisen müssen, hat dies bisher aber nicht getan. Dies wurde jetzt geändert.

Download: Thunderbird 78.10.2
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Antworten