過去幾個月,Mozilla 旗下安全電子郵件客戶端“雷鳥”(Thunderbird)被曝用純文本格式保存了一些用戶的 OpenPGP 密鑰。該漏洞的追蹤代號為 CVE-2021-29956,影響從 78.8.1 ~ 78.10.1 之間的軟件版本。雖然嚴重等級較低,但開發者還是努力在新版中實施了修復,同時為 Thunderbird 所使用的加密密鑰添加了額外的保護。
幾周前,Mozilla E2EE 郵件列表中的用戶發現,他們可在無需輸入主密碼的情況下,直接查看受 OpenPGP 加密保護的電子郵件。而按照正常的功能邏輯,查看前是必須先進行用戶身份驗證的。
受該缺陷影響,本地攻擊者將可通過查看和複製這些 OpenPGP 密鑰來偽造發件人,並悄悄地向其聯繫人發送不為用戶所知的電子郵件。
在最新的安全公告中,Mozilla 提供了有關 CVE-2021-29956 漏洞的更多細節,以及他們是如何在 Thunderbird 78.10.2 版本中修復該漏洞的。
使用 78.8.1 ~ 78.10.1 版本的 Thunderbird 郵件客戶端的用戶,其 OpenPGP 密鑰未能通過加密存儲的方式留在本地磁盤上,並導致主密碼保護功能失效。
不過在 78.10.2 版本中,Thunderbird 已經恢復了新導入密鑰的保護機制,並將自動保護從受影響的舊版本上導入的 OpenPGP 密鑰。
Mozilla Thunderbird 項目團隊軟件開發者 Kai Engert 在接受 The Register 採訪時給出了相關解釋:
一旦用戶配置了主密碼,那在 Firefox / Thunderbird 首次存儲任何機密內容時,系統都將提示用戶輸入密碼。
若輸入正確,則相應的密鑰將在會話期間維持被記住和解鎖的狀態,並且可根據需要來解鎖任何受保護的加密內容。
不過現在,Thunderbird 電子郵件客戶端已經過了重新編寫。為避免保護 OpenPGP 密鑰,Mozilla 建議大家立即將 Thunderbird 升級到最新的 78.10.2 版本。
下載地址:https://www.thunderbird.net/en-US/download/