Un récent audit de sécurité du client de messagerie Thunderbird et le cryptage de l’extension Enigmail révélé non corrigés des problèmes de sécurité dans le programme de courriel et Enigmail.
Le rapport n’a pas encore été dévoilé que les questions ne sont pas encore patché dans la Thunderbird programme. Les chercheurs ont constaté que 22 vulnérabilités au total dans les deux programmes; trois de ces vulnérabilités ont reçu un score de critique, cinq une cote élevée.
Mise à jour: Thunderbird 52.5.2 corrige les vulnérabilités.
Certains résultats de l’audit ont été publiés sur le Posteo blog. Toutes les questions que les chercheurs ont trouvé dans Enigmail ont déjà été fixée dans Enigmail 1.9.9 que les utilisateurs peuvent télécharger à partir de l’officiel du site web du projet.
Cette version corrige un certain nombre de failles de sécurité découvertes par Cure53 lors d’une vérification de Thunderbird avec Enigmail. Le rapport d’audit couvre à la fois Thunderbird et Enigmail. Comme certaines vulnérabilités sont encore non fixée sur le côté de Thunderbird, actuellement, nous ne publions un extrait du rapport avec les problèmes trouvés dans Enigmail.
Le rapport n’a pas été publié dans son intégralité, mais Posteo a quelques idées pour les utilisateurs de Thunderbird pour réduire le risque de courir dans les exploits.
Les recommandations suivantes ont été publiées:
- Thunderbird devrait être mis à jour vers la version la plus récente dès qu’il est libéré.
- Les utilisateurs ne doivent pas utiliser les flux RSS dans Thunderbird. Les recherches trouvé les questions essentielles dans le traitement de flux RSS qui permet de révéler la “totalité de la communication” et “autres données sensibles”.
- Ne pas utiliser les add-ons. Si vous avez à utiliser les add-ons, seulement vérifié par utilisation d’add-ons.
Si vous utilisez Thunderbird pour lire les fils RSS, vous pouvez désactiver la fonctionnalité pour le moment jusqu’à ce qu’un correctif soit publié. Posteo note toutefois qu’il peut prendre jusqu’à Thunderbird 59 qui ne sera pas pendant des mois.
Lire aussi: Thunderbird Joindre à partir du presse-papiers de l’extension
Voici comment désactiver la fonctionnalité pour l’instant:
- Repérez la rubrique “les Blogs Et les Flux d’Actualité” l’inscription dans l’Thunderbird barre latérale.
- Un clic-droit dessus, et sélectionnez Paramètres.
- Vous avez alors deux options:
- Sélectionnez comptes, puis sélectionnez “Supprimer le Compte”. Cela supprime tous les aliments et l’alimentation du compte de Thunderbird. Notez que vous ne pouvez pas le restaurer par la suite plus.
- Décochez la case “vérifier les nouveaux articles au démarrage” et “vérifier les nouveaux articles toutes les x minutes”. Cela permet de maintenir le flux RSS, mais qui ne sont pas en mesure de récupérer de nouveaux sur le démarrage ou automatiquement.
La deuxième option est moins sûr. Je ne peux pas dire à coup sûr que la vulnérabilité n’a pas encore été révélé. Si vous voulez vous assurer que, de supprimer le fil de compte dans Thunderbird. Vous pouvez faire d’abord une sauvegarde pour restaurer le compte après la mise à jour a été publiée.