Mozilla Thunderbird 以明文存储密钥,目前问题已被修复
Thunderbird 是 Mozilla 旗下的开源电子邮件客户端,在过去几个月里,经过代码重构之后的版本一直以纯文本形式保存一些用户的 OpenPGP 密钥。 该漏洞的追踪代码为 CVE-2021-29956,存在于 78.8.1 到 78.10.1 版本中。值得庆幸的是,Mozilla 目前已在 78.10.2 版本中修复了该漏洞。 这个错误是在几周前才发现的,当时该公司 E2EE 邮件列表中的一个用户注意到,他们能够在无需输入主密码的情况下,查看 OpenPGP 加密的电子邮件。通常在 Thunderbird 中,用户首先需要验证自己的身份,然后才能够查看加密的电子邮件信息。 通过查看和复制这些 OpenPGP 密钥,本地攻击者可以利用这些密钥来冒充发件人,向他们的联系人发送恶意邮件。 Mozilla 表示:"使用 Thunderbird 78.8.1 版至 78.10.1 版导入的 OpenPGP 密匙未被加密地存储在用户的本地磁盘上。这些密钥的主密码保护没有被启用。78.10.2 版将恢复对新导入密钥的保护机制,并将自动保护使用了受影响的 Thunderbird 版本导入的...
