Thunderbird 是 Mozilla 旗下的開源電子郵件客戶端，在過去幾個月里，經(jīng)過代碼重構(gòu)之后的版本一直以純文本形式保存一些用戶的 OpenPGP 密鑰。

該漏洞的追蹤代碼為 CVE-2021-29956，存在于 78.8.1 到 78.10.1 版本中。值得慶幸的是，Mozilla 目前已在 78.10.2 版本中修復(fù)了該漏洞。

這個錯誤是在幾周前才發(fā)現(xiàn)的，當(dāng)時該公司 E2EE 郵件列表中的一個用戶注意到，他們能夠在無需輸入主密碼的情況下，查看 OpenPGP 加密的電子郵件。通常在 Thunderbird 中，用戶首先需要驗證自己的身份，然后才能夠查看加密的電子郵件信息。

通過查看和復(fù)制這些 OpenPGP 密鑰，本地攻擊者可以利用這些密鑰來冒充發(fā)件人，向他們的聯(lián)系人發(fā)送惡意郵件。

Mozilla 表示："使用 Thunderbird 78.8.1 版至 78.10.1 版導(dǎo)入的 OpenPGP 密匙未被加密地存儲在用戶的本地磁盤上。這些密鑰的主密碼保護(hù)沒有被啟用。78.10.2 版將恢復(fù)對新導(dǎo)入密鑰的保護(hù)機(jī)制，并將自動保護(hù)使用了受影響的 Thunderbird 版本導(dǎo)入的鑰匙。"

Mozilla Thunderbird 項目的安全軟件開發(fā)人員 Kai Engert 解釋道："只要用戶配置了一個主密碼，當(dāng) Thunderbird 第一次需要訪問任何存儲的加密信息時，就會提示用戶輸入主密碼。如果輸入正確，對稱密鑰將被解鎖，并在剩余的會話中被記住，任何受保護(hù)的信息都可以根據(jù)需要被解鎖。"

Engert 還解釋道，Thunderbird 的密鑰處理過程已被重構(gòu)，以保持其安全性，而這正是漏洞被引入的時候。在代碼重構(gòu)之前，電子郵件客戶端會將密鑰復(fù)制到永久存儲區(qū)，然后使用 Thunderbird 的自動 OpenPGP 密鑰保護(hù)它。然而，在重構(gòu)之后，Thunderbird 會先使用客戶端的自動 OpenPGP 密鑰進(jìn)行保護(hù)，再將密鑰復(fù)制到永久存儲區(qū)。

Mozilla 認(rèn)為，當(dāng)把密匙復(fù)制到其他存儲區(qū)時，對密匙的保護(hù)會被保留下來，但事實證明并非如此，這導(dǎo)致用戶的 OpenPGP 密匙以純文本形式存儲了下來。

為了避免 OpenPGP 密鑰被暴露，Thunderbird 用戶應(yīng)該將客戶端更新到 78.10.2 版本，以避免該錯誤。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Mozilla Thunderbird 以明文存儲密鑰，目前問題已被修復(fù)

本文地址：https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext