En nylig sikkerhed revision af e-mail-klienten Thunderbird og kryptering udvidelse Enigmail afsløret unpatched sikkerhedsspørgsmål i den e-mail-program og i Enigmail.
Rapporten er ikke blevet udgivet endnu, da spørgsmål er endnu ikke lappet i Thunderbird programmet. Forskerne fandt, 22 sårbarheder i alt i begge programmer, og tre af de sårbarheder, der modtages en kritisk bedømmelse, fem en rating på højt.
Opdatering: Thunderbird 55.5.2 løser sårbarheder.
Nogle af resultaterne af revisionen blev lagt ud på Posteo blog. Alle spørgsmål, som forskerne fandt i Enigmail har været fast allerede i Enigmail 1.9.9, som brugerne kan downloade fra projektets officielle hjemmeside.
Denne version løser en række sikkerhedsmæssige sårbarheder opdaget af Cure53 i løbet af en revision af Thunderbird med Enigmail. Revisionspåtegningen dækker både Thunderbird og Enigmail. Som nogle sårbarheder er stadig ikke fastgjort på siden af Thunderbird, vi i øjeblikket kun offentliggøre et uddrag af rapporten med de problemer, der blev fundet i Enigmail.
Rapporten har ikke været offentliggjort i sin helhed endnu, men Posteo har nogle indsigter til Thunderbird-brugere til at reducere risikoen for at løbe ind i exploits.
De følgende anbefalinger er blevet indsendt:
- Thunderbird skal være opdateret til den nyeste version, så snart den bliver frigivet.
- Brugerne skal ikke bruge RSS-feeds i Thunderbird. Forskerne fandt, kritiske spørgsmål i forbindelse med håndtering af RSS-feeds, der kan afsløre de “hele kommunikation” og “andre følsomme data”.
- Du må ikke bruge add-ons. Hvis du er nødt til at bruge add-ons, brug kun verificerede add-ons.
Hvis du bruger Thunderbird til at læse RSS-feeds, så du kan overveje at deaktivere funktionaliteten for tiden, indtil en patch er frigivet. Posteo bemærker dog, at det kan tage indtil Thunderbird 59, som ikke vil være ude i flere måneder.
Læs også: Office 365 kan omfatte Outlook.com Præmie
Her er, hvordan du kan slå den funktionalitet til nu:
- Find “Blogs & News Feed” notering i Thunderbird sidebar.
- Højre-klik på det, og vælg Indstillinger.
- Du har to muligheder nu:
- Vælg Konto Handlinger, og vælg “Fjern”. Dette fjerner alle feeds og feed-konto fra Thunderbird. Bemærk, at du ikke kan gendanne det bagefter længere.
- Fjern fluebenet fra “check for ny artikel ved opstart” og “check for nye artikler hver x minutter”. Dette holder RSS-feeds, men ikke vil hente nye på start eller automatisk.
Den anden mulighed kan være mindre sikker. Jeg er ikke sikker på, at sårbarhed er ikke blevet afsløret endnu. Hvis du vil sikre dig, skal du slette foder-konto i Thunderbird. Du kan lave en backup først for at genoprette den konto, efter opdateringen er blevet frigivet.