Thunderbird 是 Mozilla 旗下的开源电子邮件客户端,在过去几个月里,经过代码重构之后的版本一直以纯文本形式保存一些用户的 OpenPGP 密钥。
该漏洞的追踪代码为 CVE-2021-29956,存在于 78.8.1 到 78.10.1 版本中。值得庆幸的是,Mozilla 目前已在 78.10.2 版本中修复了该漏洞。
这个错误是在几周前才发现的,当时该公司 E2EE 邮件列表中的一个用户注意到,他们能够在无需输入主密码的情况下,查看 OpenPGP 加密的电子邮件。通常在 Thunderbird 中,用户首先需要验证自己的身份,然后才能够查看加密的电子邮件信息。
通过查看和复制这些 OpenPGP 密钥,本地攻击者可以利用这些密钥来冒充发件人,向他们的联系人发送恶意邮件。
Mozilla 表示:"使用 Thunderbird 78.8.1 版至 78.10.1 版导入的 OpenPGP 密匙未被加密地存储在用户的本地磁盘上。这些密钥的主密码保护没有被启用。78.10.2 版将恢复对新导入密钥的保护机制,并将自动保护使用了受影响的 Thunderbird 版本导入的钥匙。"
Mozilla Thunderbird 项目的安全软件开发人员 Kai Engert 解释道:"只要用户配置了一个主密码,当 Thunderbird 第一次需要访问任何存储的加密信息时,就会提示用户输入主密码。如果输入正确,对称密钥将被解锁,并在剩余的会话中被记住,任何受保护的信息都可以根据需要被解锁。"
Engert 还解释道,Thunderbird 的密钥处理过程已被重构,以保持其安全性,而这正是漏洞被引入的时候。在代码重构之前,电子邮件客户端会将密钥复制到永久存储区,然后使用 Thunderbird 的自动 OpenPGP 密钥保护它。然而,在重构之后,Thunderbird 会先使用客户端的自动 OpenPGP 密钥进行保护,再将密钥复制到永久存储区。
Mozilla 认为,当把密匙复制到其他存储区时,对密匙的保护会被保留下来,但事实证明并非如此,这导致用户的 OpenPGP 密匙以纯文本形式存储了下来。
为了避免 OpenPGP 密钥被暴露,Thunderbird 用户应该将客户端更新到 78.10.2 版本,以避免该错误。
本文转自OSCHINA
本文标题:Mozilla Thunderbird 以明文存储密钥,目前问题已被修复
本文地址:https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext