En fersk sikkerhet revisjon av e-postklienten Thunderbird og kryptering extension Enigmail avslørt oppdaterte sikkerhetsspørsmål i e-post program og på Enigmail.
Rapporten har ikke blitt lansert ennå som saker er ennå ikke oppdatert i Thunderbird programmet. Forskerne fant 22 sårbarheter i sum i begge programmer; tre av sårbarheter mottatt en kritisk vurdering, fem rangert høyt.
Oppdatering: Thunderbird 52.5.2 løser sikkerhetsproblemer.
Noen av resultatene av revisjonen ble lagt ut på Posteo blogg. Alle spørsmål som forskerne funnet i Enigmail har vært fast allerede i Enigmail 1.9.9 som brukere kan laste ned fra den offisielle prosjektets nettside.
Denne versjonen løser en rekke sikkerhetsproblemer som er oppdaget av Cure53 under en revisjon av Thunderbird med Enigmail. Revisjonsrapporten som dekker både Thunderbird og Enigmail. Som noen svakheter er fortsatt fikserte på siden av Thunderbird, for øyeblikket kan vi bare publisere et utdrag av rapporten, med de problemer som er funnet i Enigmail.
Rapporten har ikke vært publisert i sin helhet ennå, men Posteo har noen innsikt for Thunderbird brukere til å redusere risikoen for å kjøre inn i bedriftene.
Følgende anbefalinger har blitt postet:
- Thunderbird skal være oppdatert til siste versjon så snart det er gitt ut.
- Brukere bør ikke bruke RSS-feeder i Thunderbird. Undersøkelsene fant kritiske feil i håndtering av RSS feeds som kan avsløre “hele kommunikasjon” og “andre sensitive data”.
- Ikke bruk add-ons. Hvis du har til å bruke add-ons, bare bruk bekreftet add-ons.
Hvis du bruker Thunderbird for å lese RSS-feeds med, så kan du vurdere å deaktivere funksjonen for tiden inntil en oppdatering er utgitt. Posteo merk imidlertid at det kan ta inntil Thunderbird 59 som ikke vil være ute i flere måneder.
Les også: Gmail-Skript for å melde deg av mailing lister og nyhetsbrev
Her er hvordan du slår av funksjonen for nå:
- Finn Blogger & News Feed” oppføring i Thunderbird sidebar.
- Høyre-klikk på den, og velg Innstillinger.
- Du har to valg nå:
- Velg Konto Handlinger, og velg “Slett Konto”. Dette fjerner alle fôr og fôr-konto fra Thunderbird. Merk at du ikke kan gjenopprette den etterpå lenger.
- Fjern haken fra “sjekker for nye artikler ved oppstart” og “sjekk for nye artikler hver x minutter”. Dette holder RSS-feeds, men vil ikke hente nye på oppstart eller automatisk.
Det andre alternativet kan være mindre sikker. Jeg kan ikke si sikkert som et sikkerhetsproblem har ikke blitt avslørt ennå. Hvis du ønsker å være sikker, slette fôr konto i Thunderbird. Du kan ta en sikkerhetskopi første til å gjenopprette kontoen etter oppdateringen har blitt utgitt.