Mozilla Thunderbird mógł wykorzystywać tożsamość użytkowników!

Klient poczty elektronicznej, Mozilla Thunderbird, zapisywał klucze OpenPGP niektórych użytkowników w postaci zwykłego tekstu przez ostatnie kilka miesięcy. Luka w aplikacji, oznaczona jako CVE-2021-29956, otrzymała od firmy niski stopień ważności i występuje w wersjach od 78.8.1 do 78.10.1 włącznie. Na szczęście problem został już załatany przez programistę, który jest winny pojawienia się luki w kodzie. Nieumyślnie sprawił, że pojawiła się ona podczas próby dodania dodatkowej ochrony do tajnych kluczy używanych przez Thunderbirda.

W nowym komunikacie dotyczącym bezpieczeństwa, Mozilla przedstawiła dalsze szczegóły dotyczące luki i sposobu jej załatania:

Tajne klucze OpenPGP, które zostały zaimportowane przy użyciu Thunderbirda w wersji 78.8.1 do wersji 78.10.1, były przechowywane jako niezaszyfrowane na dysku lokalnym użytkownika. Ochrona hasłem głównym była nieaktywna dla tych kluczy. Wersja 78.10.2 przywróci mechanizm ochrony dla nowo importowanych kluczy i automatycznie zabezpieczy klucze, które zostały zaimportowane przy użyciu wersji Thunderbirda, których dotyczy problem.

Błąd został po raz pierwszy odkryty kilka tygodni temu, gdy jeden z użytkowników na firmowej liście mailingowej E2EE zauważył, że był w stanie przeglądać zaszyfrowane klucze OpenPGP bez podawania swojego hasła głównego. Normalnie w Thunderbirdzie, użytkownicy muszą się najpierw uwierzytelnić, zanim będą mogli przeglądać zabezpieczone wiadomości e-mail. Przeglądając i kopiując te klucze, można użyć ich do podszywania się pod nadawcę i wysyłania nieuzasadnionych wiadomości e-mail. Aby uniknąć ujawnienia tych kluczy, użytkownicy Thunderbirda powinni zaktualizować swojego klienta poczty do wersji 78.10.2, która chroni przed tym błędem.

Zobacz również:

• Używasz Firefoxa? Już możesz go zaktualizować
• Najlepsze programy pocztowe - zestawienie na 2022 rok
• Jak sprawdzić, czy Twoje hasło zostało skradzione?

Aktualne ceny w sklepach

Smart Games gra logiczna Antywirus Mutacja - wersja polska 67 zł Antywirus G DATA Internet Security 2018 BOX 1PC 12 msc 89 zł Iuvi Smart Games Antywirus 94 zł Antywirus ESET Internet Security 1 URZĄDZENIE 1 ROK Kod aktywacyjny 149 zł Antywirus ESET Internet Security 1 URZĄDZENIE 1 ROK Kod aktywacyjny 149 zł Antywirus Dr.Web Przestrzeń Bezpieczeństwa 2021 Windows, MacOS, Linux. System... 158 zł Antywirus Avg Ultimate z Vpn 3 urządzenia 2 lata 159 zł Antywirus ESET Internet Security 1 URZĄDZENIE 1 ROK Kod aktywacyjny 170 zł

Źródło: techradar.com