Thunderbird 是 Mozilla 集团旗下的开源系统电子邮件手机客户端,在过去的好多个月里,通过代码优化以后的版本一直阿依莲文字方式储存一些用户的 OpenPGP 密钥。
该系统漏洞的跟踪编码为 CVE-2021-29956,存有于 78.8.1 到 78.10.1 版本中。非常值得高兴的是,Mozilla 现阶段已在 78.10.2 版本中修补了该系统漏洞。
这一不正确是在几个星期很迟发觉的,那时候该企业 E2EE 邮件列表中的一个用户注意到,她们可以在不用键入主登陆密码的情形下,查看 OpenPGP 数据加密的电子邮件。通常在 Thunderbird 中,用户最先必须证实自身的真实身份,随后才可以查看数据加密的电子邮件信息。
根据查看和拷贝这种 OpenPGP 密钥,当地网络攻击可以运用这种密钥来假冒发件人,向她们的手机联系人推送故意电子邮件。
Mozilla 表明:"应用 Thunderbird 78.8.1 版至 78.10.1 版导进的 OpenPGP 密匙未被数据加密地储存在用户的系统盘上。这种密钥的主密码设置沒有被开启。78.10.2 版将修复对新导进密钥的防护体制,并将全自动维护采用了受影响的 Thunderbird 版本导进的锁匙。"
Mozilla Thunderbird 新项目的电脑安全软件开发者 Kai Engert 表述道:"只需用户配备了一个主登陆密码,当 Thunderbird 第一次必须浏览一切储存的数据加密信息时,便会提醒用户键入主登陆密码。假如键入恰当,对称性密钥将被开启,并在剩下的对话中被记牢,一切受保障的信息都能够依据必须被开启。"
Engert 还表述道,Thunderbird 的密钥处理方式已被构建,以保证其安全系数,而这恰好是系统漏洞被引进的情况下。在代码优化以前,电子邮件手机客户端会将密钥拷贝到永久性储存区,随后应用 Thunderbird 的全自动 OpenPGP 密钥维护它。殊不知,在构建以后,Thunderbird 会先应用手机客户端的全自动 OpenPGP 密钥开展维护,再将密钥拷贝到永久性储存区。
Mozilla 觉得,当把密匙拷贝到别的储存区的时候,对密匙的维护会被保存出来,但事实上并不是这样,这造成用户的 OpenPGP 密匙阿依莲文字方式储存了出来。
为了防止 OpenPGP 密钥被曝露,Thunderbird 用户应当将客户端更新到 78.10.2 版本,以防止该不正确。
文中转自OSCHINA
本文文章标题:Mozilla Thunderbird 以密文储存密钥,现阶段问题已被修补
文中详细地址:https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext