Un recente audit di sicurezza del client di posta elettronica Thunderbird e la crittografia estensione Enigmail rivelato senza patch problemi di sicurezza nel programma di posta elettronica e Enigmail.
Il report non è ancora stata rilasciata come i problemi non sono ancora inserite nel programma Thunderbird. I ricercatori hanno trovato 22 vulnerabilità in totale in entrambi i programmi, le tre vulnerabilità ricevuto una valutazione critica, cinque una valutazione alta.
Aggiornamento: Thunderbird 52.5.2 risolve la vulnerabilità.
Alcuni risultati dell’audit sono stati pubblicati sul Posteo blog. Tutti i problemi che i ricercatori hanno trovato in Enigmail essere già stato risolto in Enigmail 1.9.9 che gli utenti possono scaricare dal sito ufficiale del progetto.
Questa versione risolve una serie di vulnerabilità di sicurezza scoperta da Cure53 durante un controllo di Thunderbird con Enigmail. La relazione di revisione copre sia Thunderbird e Enigmail. Come alcune vulnerabilità ancora non fissati sul lato di Thunderbird, attualmente solo la pubblicazione di un estratto del rapporto con i problemi riscontrati in Enigmail.
Il report non è stato pubblicato nella sua interezza, ma Posteo ha alcuni spunti per Thunderbird agli utenti di ridurre il rischio di incorrere in attacchi.
Le seguenti raccomandazioni sono state pubblicate:
- Thunderbird dovrebbe essere aggiornato all’ultima versione appena rilasciata.
- Gli utenti non devono utilizzare i feed RSS in Thunderbird. Le ricerche hanno trovato criticità nella gestione dei feed RSS che può rivelare la “tutta la comunicazione” e “altri dati sensibili”.
- Non utilizzare add-ons. Se è necessario utilizzare add-ons, solo verificata uso di add-ons.
Se si utilizza Thunderbird per leggere i feed RSS, allora si può prendere in considerazione la possibilità di disattivare la funzionalità, per il momento, fino a quando una patch viene rilasciata. Posteo rileva, tuttavia, che potrebbe richiedere fino a Thunderbird 59, che non sarà fuori per mesi.
Leggi anche: Thunderbird Allegare dagli Appunti di estensione
Ecco come disattivare la funzionalità, per ora:
- Individuare il “Blog & News Feed” elenco Thunderbird laterale.
- Fare clic destro su di esso e selezionare Impostazioni.
- Hai due opzioni:
- Selezionare Account di Azioni, e selezionare “Rimuovi Account”. Questo rimuove tutti i feed e il feed conto da Thunderbird. Si noti che non è possibile ripristinarla successivamente più.
- Rimuovere il segno di spunta da “controlla nuovi articoli all’avvio” e “controlla nuovi articoli ogni x minuti”. Questo mantiene i feed RSS, ma non recuperare quelli nuovi all’avvio o automaticamente.
La seconda opzione potrebbe essere meno sicuro. Non posso dire con certezza come la vulnerabilità non è stato ancora rivelato. Se si desidera assicurarsi, eliminare il feed account in Thunderbird. Si può fare un backup prima di ripristinare l’account dopo che l’aggiornamento è stato rilasciato.