Thunderbird 是 Mozilla 旗下的開源電子郵件客戶端，在過(guò)去幾個(gè)月里，經(jīng)過(guò)代碼重構(gòu)之后的版本一直以純文本形式保存一些用戶的 OpenPGP 密鑰。

該漏洞的追蹤代碼為 CVE-2021-29956，存在于 78.8.1 到 78.10.1 版本中。值得慶幸的是，Mozilla 目前已在 78.10.2 版本中修復(fù)了該漏洞。

這個(gè)錯(cuò)誤是在幾周前才發(fā)現(xiàn)的，當(dāng)時(shí)該公司 E2EE 郵件列表中的一個(gè)用戶注意到，他們能夠在無(wú)需輸入主密碼的情況下，查看 OpenPGP 加密的電子郵件。通常在 Thunderbird 中，用戶首先需要驗(yàn)證自己的身份，然后才能夠查看加密的電子郵件信息。

通過(guò)查看和復(fù)制這些 OpenPGP 密鑰，本地攻擊者可以利用這些密鑰來(lái)冒充發(fā)件人，向他們的聯(lián)系人發(fā)送惡意郵件。

Mozilla 表示："使用 Thunderbird 78.8.1 版至 78.10.1 版導(dǎo)入的 OpenPGP 密匙未被加密地存儲(chǔ)在用戶的本地磁盤上。這些密鑰的主密碼保護(hù)沒有被啟用。78.10.2 版將恢復(fù)對(duì)新導(dǎo)入密鑰的保護(hù)機(jī)制，并將自動(dòng)保護(hù)使用了受影響的 Thunderbird 版本導(dǎo)入的鑰匙。"

Mozilla Thunderbird 項(xiàng)目的安全軟件開發(fā)人員 Kai Engert 解釋道："只要用戶配置了一個(gè)主密碼，當(dāng) Thunderbird 第一次需要訪問(wèn)任何存儲(chǔ)的加密信息時(shí)，就會(huì)提示用戶輸入主密碼。如果輸入正確，對(duì)稱密鑰將被解鎖，并在剩余的會(huì)話中被記住，任何受保護(hù)的信息都可以根據(jù)需要被解鎖。"

Engert 還解釋道，Thunderbird 的密鑰處理過(guò)程已被重構(gòu)，以保持其安全性，而這正是漏洞被引入的時(shí)候。在代碼重構(gòu)之前，電子郵件客戶端會(huì)將密鑰復(fù)制到永久存儲(chǔ)區(qū)，然后使用 Thunderbird 的自動(dòng) OpenPGP 密鑰保護(hù)它。然而，在重構(gòu)之后，Thunderbird 會(huì)先使用客戶端的自動(dòng) OpenPGP 密鑰進(jìn)行保護(hù)，再將密鑰復(fù)制到永久存儲(chǔ)區(qū)。

Mozilla 認(rèn)為，當(dāng)把密匙復(fù)制到其他存儲(chǔ)區(qū)時(shí)，對(duì)密匙的保護(hù)會(huì)被保留下來(lái)，但事實(shí)證明并非如此，這導(dǎo)致用戶的 OpenPGP 密匙以純文本形式存儲(chǔ)了下來(lái)。

為了避免 OpenPGP 密鑰被暴露，Thunderbird 用戶應(yīng)該將客戶端更新到 78.10.2 版本，以避免該錯(cuò)誤。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Mozilla Thunderbird 以明文存儲(chǔ)密鑰，目前問(wèn)題已被修復(fù)

本文地址：https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext