Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1234172
  • 博文数量: 1096
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 11060
  • 用 户 组: 普通用户
  • 注册时间: 2018-03-07 15:17
个人简介

linux工程师,RHCE

文章分类

全部博文(1096)

文章存档

2023年(84)

2022年(314)

2021年(251)

2020年(244)

2019年(176)

2018年(27)

我的朋友

分类: 系统运维

2021-05-27 18:12:28

Mozilla Thunderbird 以明文存储密钥,目前问题已被修复

Thunderbird 是 Mozilla 旗下的开源电子邮件客户端,在过去几个月里,经过代码重构之后的版本一直以纯文本形式保存一些用户的 OpenPGP 密钥。

Thunderbird 是 Mozilla 旗下的开源电子邮件客户端,在过去几个月里,经过代码重构之后的版本一直以纯文本形式保存一些用户的 OpenPGP 密钥。

该漏洞的追踪代码为 CVE-2021-29956,存在于 78.8.1 到 78.10.1 版本中。值得庆幸的是,Mozilla 目前已在 78.10.2 版本中修复了该漏洞。

这个错误是在几周前才发现的,当时该公司 E2EE 邮件列表中的一个用户注意到,他们能够在无需输入主密码的情况下,查看 OpenPGP 加密的电子邮件。通常在 Thunderbird 中,用户首先需要验证自己的身份,然后才能够查看加密的电子邮件信息。

通过查看和复制这些 OpenPGP 密钥,本地攻击者可以利用这些密钥来冒充发件人,向他们的联系人发送恶意邮件。

Mozilla 表示:"使用 Thunderbird 78.8.1 版至 78.10.1 版导入的 OpenPGP 密匙未被加密地存储在用户的本地磁盘上。这些密钥的主密码保护没有被启用。78.10.2 版将恢复对新导入密钥的保护机制,并将自动保护使用了受影响的 Thunderbird 版本导入的钥匙。"

Mozilla Thunderbird 项目的安全软件开发人员 Kai Engert 解释道:"只要用户配置了一个主密码,当 Thunderbird 第一次需要访问任何存储的加密信息时,就会提示用户输入主密码。如果输入正确,对称密钥将被解锁,并在剩余的会话中被记住,任何受保护的信息都可以根据需要被解锁。"

Engert 还解释道,Thunderbird 的密钥处理过程已被重构,以保持其安全性,而这正是漏洞被引入的时候。在代码重构之前,电子邮件客户端会将密钥复制到永久存储区,然后使用 Thunderbird 的自动 OpenPGP 密钥保护它。然而,在重构之后,Thunderbird 会先使用客户端的自动 OpenPGP 密钥进行保护,再将密钥复制到永久存储区。

Mozilla 认为,当把密匙复制到其他存储区时,对密匙的保护会被保留下来,但事实证明并非如此,这导致用户的 OpenPGP 密匙以纯文本形式存储了下来。

为了避免 OpenPGP 密钥被暴露,Thunderbird 用户应该将客户端更新到 78.10.2 版本,以避免该错误。《linux就该这么学》不错的linux自学书籍

阅读(974) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~