Eine aktuelle security-audit des E-Mail-client Thunderbird und dem Verschlüsselungs-Erweiterung Enigmail offenbart ungepatchte Sicherheitslücken in dem E-Mail Programm und in Enigmail.
Der Bericht noch nicht freigegeben wurde, als Probleme noch nicht gepatcht in der Thunderbird-Programm. Die Forscher fanden 22 Sicherheitslücken in insgesamt in beiden Programmen; drei der Schwachstellen erhalten eine kritische Bewertung, fünf die Bewertung hoch.
Update: Thunderbird 55.5.2 behebt die Schwachstellen.
Einige Ergebnisse der Prüfung veröffentlicht wurden, die auf der Posteo-blog. Alle Probleme, die die Forscher fanden in Enigmail bereits behoben in Enigmail 1.9.9, die Benutzer herunterladen können, von der offiziellen Projekt-Webseite.
Diese version behebt eine Reihe von Sicherheitslücken entdeckt, durch die Cure53, die während einer Prüfung von Thunderbird mit Enigmail. Der audit-Bericht umfasst sowohl Thunderbird und Enigmail. Einige Schwachstellen sind immer noch lose auf der Seite von Thunderbird, die wir derzeit veröffentlichen nur ein Auszug von dem Bericht mit den Problemen in Enigmail.
Der Bericht wurde nicht veröffentlicht, in seiner Gesamtheit noch nicht, aber Posteo hat einige Erkenntnisse für Thunderbird-Nutzer zu reduzieren das Risiko des Laufens in-exploits.
Die folgenden Empfehlungen wurden veröffentlicht:
- Thunderbird sollte aktualisiert werden auf die neueste version, sobald Sie freigegeben wird.
- Benutzer sollten nicht verwenden RSS-feeds in Thunderbird. Die Forschungen fanden kritische Probleme in der Handhabung von RSS-feeds, um den “gesamten Kommunikation” und “andere vertrauliche Informationen”.
- Nicht verwenden, add-ons. Wenn Sie add-ons, verwenden Sie nur überprüfte add-ons.
Wenn Sie Thunderbird zum Lesen von RSS-feeds, dann möchten Sie vielleicht zu prüfen, deaktivieren Sie die Funktionalität für die Zeit, bis ein patch veröffentlicht wird. Posteo stellt jedoch fest, dass es dauern kann, bis Thunderbird 59 das wird nicht für Monate.
Lesen Sie auch: Office 365 umfassen kann Outlook.com Premium
Hier ist, wie schalten Sie die Funktionalität für jetzt:
- Suchen Sie die “Blogs & News-Feed” – Liste in Thunderbird in der sidebar.
- Mit der rechten Maustaste darauf, und wählen Sie Einstellungen.
- Sie haben zwei Optionen jetzt:
- Wählen Sie “Konto-Aktionen” und wählen Sie “Konto Entfernen”. Dies entfernt alle RSS-feeds und die feed-Konto von Thunderbird. Beachten Sie, dass Sie ihn nicht wiederherstellen können danach nicht mehr.
- Entfernen Sie das Häkchen bei “check für neue Artikel beim Programmstart” und “nach neuen Artikeln, die alle x Minuten”. Dies hält die RSS-feeds, aber nicht abrufen, neue Systemstart oder automatisch.
Die zweite option kann weniger sicher sein. Ich kann nicht sagen, für sicher, wie die Sicherheitsanfälligkeit, wurde nicht bekannt noch. Wenn Sie sicherstellen möchten, löschen Sie die feed-Konto in Thunderbird. Sie können machen Sie zuerst eine Sicherungskopie wiederherstellen des Kontos nach dem update wurde veröffentlicht.