Mozilla Thunderbird 以明文存储密钥,目前问题已被修复

安全
Thunderbird 是 Mozilla 旗下的开源电子邮件客户端,在过去几个月里,经过代码重构之后的版本一直以纯文本形式保存一些用户的 OpenPGP 密钥。

Thunderbird 是 Mozilla 旗下的开源电子邮件客户端,在过去几个月里,经过代码重构之后的版本一直以纯文本形式保存一些用户的 OpenPGP 密钥。

该漏洞的追踪代码为 CVE-2021-29956,存在于 78.8.1 到 78.10.1 版本中。值得庆幸的是,Mozilla 目前已在 78.10.2 版本中修复了该漏洞。

这个错误是在几周前才发现的,当时该公司 E2EE 邮件列表中的一个用户注意到,他们能够在无需输入主密码的情况下,查看 OpenPGP 加密的电子邮件。通常在 Thunderbird 中,用户首先需要验证自己的身份,然后才能够查看加密的电子邮件信息。

通过查看和复制这些 OpenPGP 密钥,本地攻击者可以利用这些密钥来冒充发件人,向他们的联系人发送恶意邮件。

Mozilla 表示:"使用 Thunderbird 78.8.1 版至 78.10.1 版导入的 OpenPGP 密匙未被加密地存储在用户的本地磁盘上。这些密钥的主密码保护没有被启用。78.10.2 版将恢复对新导入密钥的保护机制,并将自动保护使用了受影响的 Thunderbird 版本导入的钥匙。"

Mozilla Thunderbird 项目的安全软件开发人员 Kai Engert 解释道:"只要用户配置了一个主密码,当 Thunderbird 第一次需要访问任何存储的加密信息时,就会提示用户输入主密码。如果输入正确,对称密钥将被解锁,并在剩余的会话中被记住,任何受保护的信息都可以根据需要被解锁。"

Engert 还解释道,Thunderbird 的密钥处理过程已被重构,以保持其安全性,而这正是漏洞被引入的时候。在代码重构之前,电子邮件客户端会将密钥复制到永久存储区,然后使用 Thunderbird 的自动 OpenPGP 密钥保护它。然而,在重构之后,Thunderbird 会先使用客户端的自动 OpenPGP 密钥进行保护,再将密钥复制到永久存储区。

Mozilla 认为,当把密匙复制到其他存储区时,对密匙的保护会被保留下来,但事实证明并非如此,这导致用户的 OpenPGP 密匙以纯文本形式存储了下来。

为了避免 OpenPGP 密钥被暴露,Thunderbird 用户应该将客户端更新到 78.10.2 版本,以避免该错误。

本文转自OSCHINA

本文标题:Mozilla Thunderbird 以明文存储密钥,目前问题已被修复

本文地址:https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext

责任编辑:未丽燕 来源: 开源中国
相关推荐

2011-01-21 15:29:16

Thunderbird

2024-09-29 15:50:51

2019-05-22 09:00:27

谷歌密码漏洞

2013-10-12 10:39:49

2021-05-25 14:22:55

Android漏洞Google

2011-01-18 18:54:48

Thunderbird

2011-01-19 09:25:40

互联网

2009-08-27 09:25:33

GoogleChrome高危漏洞Mozilla

2020-02-06 13:43:35

微软WindowsWindows 10

2014-06-18 10:59:22

2010-04-07 09:34:43

Firefox漏洞

2009-03-31 09:06:21

2019-03-18 16:15:57

修复Mozilla FirNetwork Pro

2015-09-08 10:15:16

2013-08-09 14:33:34

2011-10-18 10:36:13

云计算云存储

2009-10-29 17:29:39

2011-01-21 14:13:10

2021-07-01 10:19:23

MozillaFirefox 浏览器数据

2023-05-12 15:03:42

安全云平台加密
点赞
收藏

51CTO技术栈公众号