Beheer

Security
Mozilla Thunderbird

Mailclient Mozilla verklapte encryptiesleutels

Sleutels voor OpenPGP opgeslagen in plain-text.

© Mozilla
25 mei 2021

Sleutels voor OpenPGP opgeslagen in plain-text.

Mailprogramma Thunderbird heeft door een programmeerfout maandenlang de OpenPGP-sleutels van eindgebruikers opgeslagen in openlijk leesbaar tekstformaat. Deze bug wordt door opensourcestichting Mozilla ingeschaald als 'laag' qua impact omdat misbruik hiervan lokaal moet worden uitgevoerd.

Gebruikers die OpenPGP-sleutels hebben geïmporteerd in mailclient Thunderbird, genoten niet de ingebouwde bescherming voor die encryptie van mailberichten. De sleutels voor het coderen van mails waren op een computer open en bloot inzichtelijk. Een aanvaller die hier misbruik van maakt, kan dan vanaf andere computers berichten versturen die dankzij toepassing van een gestolen privésleutel dan echt afkomstig lijken van de eigenlijke OpenPGP-gebruiker.

Verkeerde volgorde

De bug is inmiddels gepatched, in versie 78.10.2 van de mailclient. In de kern kwam het neer op een verkeerde volgorde in stappen voor het beschermen van de encryptiesleutels. Daarbij hebben de oorspronkelijke ontwikkelaar, die ook de patch heeft gemaakt, én een reviewer van de code een onjuiste aanname gedaan, schrijft The Register.

Het importeerproces van Thunderbird voor OpenPGP-sleutels begint met een tijdelijke opslag waarna beveiliging en kopiëren naar permanente opslag worden toegepast. Het beschermen van geïmporteerde encryptiesleutels bleek echter niet 'mee te gaan' met de kopieeractie naar de permanente opslag. Daardoor waren de sleutels zonder extra wachtwoord in te zien voor iedereen die lokale toegang had tot de computer van een Thunderbird-gebruiker.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.