Een recente audit van de e-mail client Thunderbird en de codering uitbreiding Enigmail bleek niet gecorrigeerde problemen met de beveiliging in de e-mail programma en Enigmail.
Het rapport heeft niet vrijgegeven, maar als de problemen zijn nog niet gepatched in het Thunderbird-programma. De onderzoekers vonden 22 kwetsbaarheden in totaal in beide programma ‘ s; drie van de kwetsbaarheden ontvangen een kritische beoordeling, vijf een waardering van hoog.
Update: Thunderbird 55.5.2 verhelpt kwetsbaarheden.
Enkele resultaten van het onderzoek werden gepubliceerd op de Posteo blog. Alle problemen die de onderzoekers vonden in Enigmail al opgelost zijn in Enigmail 1.9.9 die gebruikers kunnen downloaden van de officiële website.
Deze versie verhelpt een aantal kwetsbaarheden in de beveiliging ontdekt door Cure53 tijdens een controle van Thunderbird met Enigmail. De accountantsverklaring heeft betrekking op zowel Thunderbird en Enigmail. Als een aantal kwetsbaarheden zijn nog niet gefixeerd op de zijkant van Thunderbird, we op dit moment alleen het publiceren van een uittreksel van het rapport met de problemen die zijn gevonden in Enigmail.
Het rapport is niet gepubliceerd in zijn geheel nog niet, maar Posteo heeft een aantal inzichten voor Thunderbird-gebruikers om het risico lopen in slaagt.
De volgende aanbevelingen zijn geplaatst:
- Thunderbird moet worden bijgewerkt naar de nieuwste versie zodra deze wordt vrijgegeven.
- Gebruikers mogen geen gebruik maken van RSS-feeds in Thunderbird. De onderzoeken gevonden voor belangrijke problemen in de afhandeling van RSS-feeds die kan onthullen van de “totale communicatie” en “gevoelige gegevens”.
- Geen gebruik maken van add-ons. Als u gebruik maken van add-ons, alleen gebruik maken van gecontroleerd add-ons.
Als u Thunderbird lees RSS-feeds, dan wilt u misschien overwegen het uitschakelen van de functionaliteit voor het moment tot er een patch is uitgebracht. Posteo merkt echter op dat het duurt totdat Thunderbird 59 die niet uit voor maanden.
Lees ook: Office 365 kan zijn Outlook.com Premium
Hier is hoe schakelt u de functionaliteit voor nu:
- Zoek de “Blogs & Nieuws-Feed” – vermelding in de Thunderbird zijbalk.
- Klik met de rechtermuisknop op en selecteert u Instellingen.
- U hebt nu twee opties:
- Selecteer Account Acties en selecteer “Account Verwijderen”. Dit verwijdert alle feeds en de feed-account van Thunderbird. Opmerking u kunt deze niet meer herstellen daarna niet meer.
- Verwijder het vinkje bij “controleren op nieuwe artikelen bij opstarten” en “check voor nieuwe artikelen iedere x minuten”. Dit houdt de RSS-feeds, maar niet het ophalen van nieuwe op het opstarten of automatisch.
De tweede optie kan minder veilig zijn. Ik kan niet met zekerheid zeggen als de kwetsbaarheid is nog niet geopenbaard. Als u zeker wilt verwijderen, verwijdert u de feed-account in Thunderbird. U kunt een back-up eerst te herstellen van de rekening na de update is vrijgegeven.