過去幾個月，Mozilla 旗下安全電子郵件客戶端“雷鳥”（Thunderbird）被曝用純文本格式保存了一些用戶的 OpenPGP 密鑰。該漏洞的追蹤代號為 CVE-2021-29956，影響從 78.8.1 ~ 78.10.1 之間的軟件版本。雖然嚴(yán)重等級較低，但開發(fā)者還是努力在新版中實施了修復(fù)，同時為 Thunderbird 所使用的加密密鑰添加了額外的保護(hù)。

幾周前，Mozilla E2EE 郵件列表中的用戶發(fā)現(xiàn)，他們可在無需輸入主密碼的情況下，直接查看受 OpenPGP 加密保護(hù)的電子郵件。而按照正常的功能邏輯，查看前是必須先進(jìn)行用戶身份驗證的。

受該缺陷影響，本地攻擊者將可通過查看和復(fù)制這些 OpenPGP 密鑰來偽造發(fā)件人，并悄悄地向其聯(lián)系人發(fā)送不為用戶所知的電子郵件。

在最新的安全公告中，Mozilla 提供了有關(guān)?CVE-2021-29956?漏洞的更多細(xì)節(jié)，以及他們是如何在 Thunderbird 78.10.2 版本中修復(fù)該漏洞的。

使用 78.8.1 ~ 78.10.1 版本的 Thunderbird 郵件客戶端的用戶，其 OpenPGP 密鑰未能通過加密存儲的方式留在本地磁盤上，并導(dǎo)致主密碼保護(hù)功能失效。

不過在 78.10.2 版本中，Thunderbird 已經(jīng)恢復(fù)了新導(dǎo)入密鑰的保護(hù)機(jī)制，并將自動保護(hù)從受影響的舊版本上導(dǎo)入的 OpenPGP 密鑰。

Mozilla Thunderbird 項目團(tuán)隊軟件開發(fā)者 Kai Engert 在接受?The Register?采訪時給出了相關(guān)解釋：

一旦用戶配置了主密碼，那在 Firefox / Thunderbird 首次存儲任何機(jī)密內(nèi)容時，系統(tǒng)都將提示用戶輸入密碼。

若輸入正確，則相應(yīng)的密鑰將在會話期間維持被記住和解鎖的狀態(tài)，并且可根據(jù)需要來解鎖任何受保護(hù)的加密內(nèi)容。

不過現(xiàn)在，Thunderbird 電子郵件客戶端已經(jīng)過了重新編寫。為避免保護(hù) OpenPGP 密鑰，Mozilla 建議大家立即將 Thunderbird 升級到最新的 78.10.2 版本。

下載地址：https://www.thunderbird.net/en-US/download/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/