Thunderbird speicherte OpenPGP-Schlüssel unverschlüsselt

Mit der Version 78.2.1 hatte der quelloffene E-Mail-Client Thunderbird im August 2020 seine verspätete OpenPGP-Unterstützung erhalten und die funktionierte bis März 2021 auch recht gut. Doch dann hatte sich in der Version 78.8.1 ein kapitaler Bock (CVE-2021-29956) eingeschlichen, welcher nun im neuen Thunderbird 78.10.2 behoben wurde.

Das Problem: Thunderbird 78.8.1 bis 78.10.1 speichern die geheimen OpenPGP-Schlüssel auf der lokalen Festplatte ohne jeglichen Schutz im Klartext. Eigentlich sollte das Master-Passwort die geheimen Schlüssel schützen, doch das funktionierte nur bis zur Version 78.8.0. Danach hatte sich ein Fehler eingeschlichen, der ausgerechnet die OpenPGP-Schlüssel aussparte. Mit dem Thunderbird 78.10.2 wird der Schutz für bereits gespeicherte als auch für neu importiere Schlüssel wiederhergestellt. Die Entwickler haben CVE-2021-29956 als geringe Gefahr eingestuft, was so einige Leser irritieren dürfte. Um an die Schlüssel zu gelangen, muss ein Angreifer zunächst zwar einen anderen Weg auf das System seines Opfers finden, dennoch stellt eine solche Klartextspeicherung keine Bagatelle dar. Wenn ein Nutzer derart vorgeht, würde man ihm Fahrlässigkeit vorwerfen.

Mit CVE-2021-29957 wurde im Thunderbird 78.10.2 auch ein zweites OpenPGP-Problem repariert, das allerdings tatsächlich vergleichsweise harmlos ausfällt: Es geht um MIME-kodierte E-Mails, die nur teilweise verschlüsselt sind. Der Thunderbird hätte bei solchen Mails auf die unvollständige Verschlüsselung hinweisen müssen, hat dies bisher aber nicht getan. Dies wurde jetzt geändert.

Download: Thunderbird 78.10.2