MozillaThunderbird以纯文本形式存储密钥,现已修复该错误被跟踪为CVE-2021-29956,存在于版本78.8.1到78.10.1中。值得庆幸的是,Mozilla现在已经在78.10.2版本中修复了该漏洞。这个漏洞是在几周前才被发现的,当时该公司E2EE邮件列表中的一位用户注意到他们无需输入主密码即可查看OpenPGP加密的电子邮件。通常在Thunderbird中,用户首先需要验证自己才能查看加密的电子邮件消息。通过查看和复制这些OpenPGP密钥,本地攻击者可以使用这些密钥冒充发件人并向其联系人发送恶意电子邮件。Mozilla声明:“使用Thunderbird版本78.8.1到78.10.1导入的OpenPGP密钥未加密存储在用户的本地磁盘上。这些密钥的主密码保护未启用。版本78.10.2将恢复对新导入密钥的保护机制的支持,并将自动保护使用受影响的Thunderbird版本导入的密钥。”MozillaThunderbird项目的安全软件开发人员KaiEngert解释说:“只要用户配置一个主密码,当Thunderbird第一次访问任何存储的加密信息时,系统会提示用户输入主密码。如果输入正确,对称密钥被解锁并在会话的剩余时间被记住,允许任何受保护的信息在需要时被解锁。”Engert还解释说,Thunderbird的密钥处理已被重构以确保其安全,这是在引入漏洞时。在代码重构之前,电子邮件客户端会将密钥复制到永久存储,然后使用Thunderbird的自动OpenPGP密钥对其进行保护。但是,重构后,Thunderbird首先使用客户端的自动OpenPGP密钥进行保护,然后将密钥复制到永久存储。Mozilla认为当密钥被复制到另一个存储区域时,密钥的保护将被保留,但事实证明并非如此,导致用户的OpenPGP密钥以明文形式存储。为避免公开OpenPGP密钥,Thunderbird用户应将客户端更新到版本78.10.2以避免此错误。本文转自OSCHINA文章标题:MozillaThunderbird明文存储密钥,问题已修复本文地址:https://www.oschina.net/news/143297/thunderbird-stores-keys-in-纯文本
