Mozilla Thunderbird mógł wykorzystywać tożsamość użytkowników!

"Bezpieczny" klient poczty elektronicznej zapisywał klucze OpenPGP użytkowników w postaci zwykłego tekstu.

Klient poczty elektronicznej, Mozilla Thunderbird, zapisywał klucze OpenPGP niektórych użytkowników w postaci zwykłego tekstu przez ostatnie kilka miesięcy. Luka w aplikacji, oznaczona jako CVE-2021-29956, otrzymała od firmy niski stopień ważności i występuje w wersjach od 78.8.1 do 78.10.1 włącznie. Na szczęście problem został już załatany przez programistę, który jest winny pojawienia się luki w kodzie. Nieumyślnie sprawił, że pojawiła się ona podczas próby dodania dodatkowej ochrony do tajnych kluczy używanych przez Thunderbirda.

W nowym komunikacie dotyczącym bezpieczeństwa, Mozilla przedstawiła dalsze szczegóły dotyczące luki i sposobu jej załatania:

Tajne klucze OpenPGP, które zostały zaimportowane przy użyciu Thunderbirda w wersji 78.8.1 do wersji 78.10.1, były przechowywane jako niezaszyfrowane na dysku lokalnym użytkownika. Ochrona hasłem głównym była nieaktywna dla tych kluczy. Wersja 78.10.2 przywróci mechanizm ochrony dla nowo importowanych kluczy i automatycznie zabezpieczy klucze, które zostały zaimportowane przy użyciu wersji Thunderbirda, których dotyczy problem.

Błąd został po raz pierwszy odkryty kilka tygodni temu, gdy jeden z użytkowników na firmowej liście mailingowej E2EE zauważył, że był w stanie przeglądać zaszyfrowane klucze OpenPGP bez podawania swojego hasła głównego. Normalnie w Thunderbirdzie, użytkownicy muszą się najpierw uwierzytelnić, zanim będą mogli przeglądać zabezpieczone wiadomości e-mail. Przeglądając i kopiując te klucze, można użyć ich do podszywania się pod nadawcę i wysyłania nieuzasadnionych wiadomości e-mail. Aby uniknąć ujawnienia tych kluczy, użytkownicy Thunderbirda powinni zaktualizować swojego klienta poczty do wersji 78.10.2, która chroni przed tym błędem.

Źródło: techradar.com