Mailclient Mozilla verklapte encryptiesleutels
Mailprogramma Thunderbird heeft door een programmeerfout maandenlang de OpenPGP-sleutels van eindgebruikers opgeslagen in openlijk leesbaar tekstformaat. Deze bug wordt door opensourcestichting Mozilla ingeschaald als 'laag' qua impact omdat misbruik hiervan lokaal moet worden uitgevoerd.
© Mozilla
Mozilla
Gebruikers die OpenPGP-sleutels hebben geïmporteerd in mailclient Thunderbird, genoten niet de ingebouwde bescherming voor die encryptie van mailberichten. De sleutels voor het coderen van mails waren op een computer open en bloot inzichtelijk. Een aanvaller die hier misbruik van maakt, kan dan vanaf andere computers berichten versturen die dankzij toepassing van een gestolen privésleutel dan echt afkomstig lijken van de eigenlijke OpenPGP-gebruiker.
Verkeerde volgorde
De bug is inmiddels gepatched, in versie 78.10.2 van de mailclient. In de kern kwam het neer op een verkeerde volgorde in stappen voor het beschermen van de encryptiesleutels. Daarbij hebben de oorspronkelijke ontwikkelaar, die ook de patch heeft gemaakt, én een reviewer van de code een onjuiste aanname gedaan, schrijft The Register.
Het importeerproces van Thunderbird voor OpenPGP-sleutels begint met een tijdelijke opslag waarna beveiliging en kopiëren naar permanente opslag worden toegepast. Het beschermen van geïmporteerde encryptiesleutels bleek echter niet 'mee te gaan' met de kopieeractie naar de permanente opslag. Daardoor waren de sleutels zonder extra wachtwoord in te zien voor iedereen die lokale toegang had tot de computer van een Thunderbird-gebruiker.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee