En nyligen genomförd säkerhetsgranskning av e-postklienten Thunderbird och kryptering tillägget Enigmail visade unpatched säkerhetsfrågor i e-post programmet och i Enigmail.
Rapporten har inte släppts ännu som frågor är ännu inte fixad i Thunderbird program. Forskarna fann 22 sårbarheter i totalt i båda programmen, varav tre av de sårbarheter som fått en kritisk betyg, fem betyget hög.
Uppdatering: Thunderbird 52.5.2 åtgärdas säkerhetsproblem.
Vissa resultat av granskningen var inlagd på Posteo blogg. Alla frågor som forskarna fann i Enigmail har varit fast redan i Enigmail 1.9.9 som användare kan ladda ner från den officiella projektets hemsida.
Denna version löser ett antal säkerhetshål som upptäcktes av Cure53 under en granskning av Thunderbird med Enigmail. Revisionsberättelsen omfattar både Thunderbird och Enigmail. Som vissa sårbarheter är fortfarande okända på sidan av Thunderbird, som vi för närvarande endast publicera ett utdrag av rapporten med de frågor som finns i Enigmail.
Rapporten har inte offentliggjorts i sin helhet ännu, men Posteo har vissa insikter för Thunderbird användare för att minska risken för att köra in utnyttjar.
Följande rekommendationer har varit inlagd:
- Thunderbird bör vara uppdaterad till den senaste versionen så snart det släpps.
- Användare bör inte använda RSS-flöden i Thunderbird. Det visade sig kritiska frågor i hantering av RSS-flöden som kan avslöja “hela kommunikation” och “andra känsliga uppgifter”.
- Inte använda add-ons. Om du har för att använda tillägg, använd endast kontrollerade add-ons.
Om du använder Thunderbird för att läsa RSS-flöden, då du kanske vill överväga att inaktivera funktionen för tiden tills en patch släpptes. Posteo konstaterar dock att det kan ta fram till Thunderbird 59, som inte kommer att vara ute i flera månader.
Läs också: Thunderbird Bifoga från Urklipp förlängning
Här är hur du stänger av funktioner för nu:
- Leta reda på “Bloggar & News Feed” notering i Thunderbird sidebar.
- Högerklicka på den och välj Inställningar.
- Du har två alternativ nu:
- Välj Konto Åtgärder och välj “ta Bort Konto”. Detta tar bort alla kanaler och foder konto från Thunderbird. Observera att du inte kan återställa det efteråt längre.
- Ta bort markeringen från “kontrollera om det finns nya artiklar vid start” och “kontrollera om det finns nya artiklar varje x minuter”. Detta håller RSS-flöden, men kommer inte att hämta nya på start eller automatiskt.
Det andra alternativet kan vara mindre säker. Jag kan inte säga säkert eftersom sårbarheten har inte avslöjats ännu. Om du vill kontrollera, ta bort fodret konto i Thunderbird. Du kan göra en säkerhetskopia först att återställa kontot efter uppdatering har släppts.