21.12.2017
Add-on-Architektur
Posteo warnt vor Sicherheitslücken in Thunderbird
Autor: Alexandra Lindner
ra2studio / shutterstock.com
Posteo warnt vor 22 teilweise kritischen Sicherheitslücken in Thunderbird und Enigmail. Die Fehler wurden im Rahmen eines in Kooperation mit dem Mozilla SOS Fund veranlassten Audit entdeckt.
Posteo warnt vor teilweise kritischen Sicherheitslücken in Thunderbird und Enigmail. Dabei handelt es sich um eine Erweiterung des Mail-Clients, der für das Signieren und Verschlüsseln von Mails verwendet werden kann. Posteo hat in Kooperation mit dem Mozilla SOS Fund ein Audit durchführen lassen. Dabei wurden vor allem Lücken in der Add-on-Architektur von Thunderbird entdeckt. Betroffen sind dem Blogpost zufolge alle Nutzer des Mail-Clients.
"Ein genauer Blick auf die Implementierung von Thunderbird und Enigmail offenbart eine weitere Verbreitung von Design-Mängeln, Sicherheitsproblemen und Fehler (...) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen werden", sagt einer der Tester.
Bei Enigmail wurde besonders kritisch bewertet, dass etwa die Signaturen sowie die Identitäten vorgetäuscht werden konnten. Ferner war es möglich, dass die verschlüsselte Kommunikation eines Nutzers von Dritten abgefangen und gegebenenfalls kompromittiert wurde.
In Thunderbird wiederum sehen die Experten die Add-on-Architektur als besonders kritisch. Durch manipulierte Plug-Ins beziehungsweise Add-ons war es Kriminellen unter bestimmten Voraussetzungen möglich an die E-Mail-Kommunikation zu gelangen. Davon betroffen wären sogar Ende-zu-Ende-verschlüsselte Nachrichten. Im schlimmsten Fall könnten Angreifer über diese Lücke sogar auf das gesamte System zugreifen. Neben den genannten Schwachstellen wurden auch kritische Lücken in Verbindung mit in Thunderbird integrierten RSS-Feeds entdeckt.
Enigmail hat alle Lücken gepatcht, Thunderbird noch nicht
Während Enigmail bereits einen entsprechenden Patch zur Verfügung gestellt hat und die aktuelle Version 1.9.9 zum Download bereitsteht, sieht es da bei Thunderbird anders aus. Hier werden die Lücken wohl erst mit einem der kommenden Updates geschlossen. Problematisch hierbei ist, dass Enigmail nicht alle Lücken selbstständig beheben kann. Etwa das grundsätzliche Problem mit den Add-ons liegt allein bei Thunderbird.
Bis die Fehler vollständig behoben sind, rät Posteo den Nutzern, den E-Mail-Client möglichst ohne Add-ons zu verwenden beziehungsweise nur auf aktuell geprüfte Erweiterungen zurückzugreifen. Ferner sollte auf jegliche RSS-Feeds in Thunderbird verzichtet werden. Außerdem sollten Nutzer darauf achten, nicht versehentlich Add-ons durch Phishing zu installieren.
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Untersuchung
Amerikaner sehen KI als Risiko für Wahlen
Die Unterscheidung zwischen echten Infos und KI-Inhalten fällt vielen politisch interessierten US-Amerikanern schwer, wie eine Studie des Polarization Research Lab zeigt.
>>