calendar
« Nov12345678910111213141516171819202122232425262728293031 Jan »

Sicherheitsaudit für Enigmail und Thunderbird: Posteo warnt vor Schwachstellen

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Kritische Sicherheitslücken in der AddOn-Architektur: Mozilla Thunderbird CC-BY 3.0 Mozilla

Zur Stärkung von Mozilla Thunderbird und Enigmail hat der E-Mail-Anbieter Posteo im Herbst zusammen mit Mozilla ein Sicherheitsaudit beauftragt. Die beiden Open-Source-Programme wurden von einem unabhängigen Expertenteam fast einen Monat lang auf Schwachstellen geprüft. Gestern hat Posteo im unternehmenseigenen Blog die Ergebnisse veröffentlicht.

22 Sicherheitslücken fanden die beauftragten Sicherheitsingenieure von Cure53. Drei davon wurden als “kritisch”, fünf als “hoch” eingestuft. Die Tester selbst mahnten zur Vorsicht:

Ein genauer Blick auf die Implementierungen von Thunderbird und Enigmail offenbarte eine weite Verbreitung von Design-Mängeln, Sicherheitsproblemen und Fehlern. (…) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen werden.

Während kritische Sicherheitslücken im OpenPGP-Verschlüsselungs-Plugin Enigmail dem Bericht zufolge mit der neusten Version schon geschlossen wurden, gehe in Thunderbird nach wie vor eine besondere Gefahr von der AddOn-Architektur selbst aus. Während diese bei Firefox mit Version 57 grundlegend umgebaut wurde, werden größere Mängel bei Thunderbird wohl noch auf absehbare Zeit bestehen bleiben. Auch vor der Nutzung von RSS-Feeds in Thunderbird wird gewarnt.

Empfehlungen von Posteo

Posteo zufolge ließe sich die Kommunikation allerdings schon deutlich sicherer gestalten, wenn man als Thunderbird- beziehungsweise Enigmail-Nutzer diesen Hinweisen folgt:

Für alle Thunderbird-Nutzer:

  • Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
  • Nutzen Sie Thunderbird möglichst ohne oder nur mit aktuell geprüften Add-ons/Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde. Aktuell kann das Verwenden kompromittierbarer Add-ons/Plugins die Vertraulichkeit Ihrer Kommunikation und anderer sensibler Daten auf Ihren Geräten gefährden.
  • Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer (Ende-zu-Ende-verschlüsselten) Kommunikation gefährden.
  • Achten Sie darauf, nicht versehentlich Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.
  • Für Enigmail-Nutzer:

  • Updaten Sie Enigmail umgehend auf die neue Version 1.9.9. Diese Version behebt alle im Audit gefundenen Schwachstellen.
  • Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
  • Installieren Sie zusätzlich zu Enigmail keine weiteren Add-ons oder Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde.
  • Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer Ende-zu-Ende-verschlüsselten Kommunikation gefährden.
  • Achten Sie darauf, nicht versehentlich weitere Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.
  • Während das Plugin Enigmail nach Überprüfung und Behebung der Schwachstellen nun als sicherer gelten könne, sollten Nutzer des Mail-Clients Thunderbird installierte Plugins genau prüfen und das Thema im Blick behalten. Die Sicherheitsexperten empfahlen einen weiteren Test für Thunderbird, wenn die Lücken geschlossen wurden.

    Offenlegung: Posteo spendet regelmäßig an netzpolitik.org, ohne dafür eine Gegenleistung zu erwarten.


    Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

    von Datenschutz – netzpolitik.org, gepostet am Donnerstag, 21. Dezember 2017 um 15:24
    Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
    Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: