過去幾個(gè)月,Mozilla 旗下安全電子郵件客戶端“雷鳥”(Thunderbird)被曝用純文本格式保存了一些用戶的 OpenPGP 密鑰。該漏洞的追蹤代號(hào)為 CVE-2021-29956,影響從 78.8.1 ~ 78.10.1 之間的軟件版本。雖然嚴(yán)重等級較低,但開發(fā)者還是努力在新版中實(shí)施了修復(fù),同時(shí)為 Thunderbird 所使用的加密密鑰添加了額外的保護(hù)。
幾周前,Mozilla E2EE 郵件列表中的用戶發(fā)現(xiàn),他們可在無需輸入主密碼的情況下,直接查看受 OpenPGP 加密保護(hù)的電子郵件。而按照正常的功能邏輯,查看前是必須先進(jìn)行用戶身份驗(yàn)證的。
受該缺陷影響,本地攻擊者將可通過查看和復(fù)制這些 OpenPGP 密鑰來偽造發(fā)件人,并悄悄地向其聯(lián)系人發(fā)送不為用戶所知的電子郵件。
在最新的安全公告中,Mozilla 提供了有關(guān) CVE-2021-29956 漏洞的更多細(xì)節(jié),以及他們是如何在 Thunderbird 78.10.2 版本中修復(fù)該漏洞的。
使用 78.8.1 ~ 78.10.1 版本的 Thunderbird 郵件客戶端的用戶,其 OpenPGP 密鑰未能通過加密存儲(chǔ)的方式留在本地磁盤上,并導(dǎo)致主密碼保護(hù)功能失效。
不過在 78.10.2 版本中,Thunderbird 已經(jīng)恢復(fù)了新導(dǎo)入密鑰的保護(hù)機(jī)制,并將自動(dòng)保護(hù)從受影響的舊版本上導(dǎo)入的 OpenPGP 密鑰。
Mozilla Thunderbird 項(xiàng)目團(tuán)隊(duì)軟件開發(fā)者 Kai Engert 在接受 The Register 采訪時(shí)給出了相關(guān)解釋:
一旦用戶配置了主密碼,那在 Firefox / Thunderbird 首次存儲(chǔ)任何機(jī)密內(nèi)容時(shí),系統(tǒng)都將提示用戶輸入密碼。
若輸入正確,則相應(yīng)的密鑰將在會(huì)話期間維持被記住和解鎖的狀態(tài),并且可根據(jù)需要來解鎖任何受保護(hù)的加密內(nèi)容。
不過現(xiàn)在,Thunderbird 電子郵件客戶端已經(jīng)過了重新編寫。為避免保護(hù) OpenPGP 密鑰,Mozilla 建議大家立即將 Thunderbird 升級到最新的 78.10.2 版本。
下載地址:https://www.thunderbird.net/en-US/download/
(舉報(bào))