Die relativ neue OpenPGP-Implementierung von Mozillas freiem Mail-Programm Thunderbird speicherte die geheimen Schlüssel dazu im Klartext auf der Festplatte des Benutzers. Dabei kam das zum Schutz vorgesehene Master-Passwort nicht zur Anwendung. Das soeben veröffentlichte Update Thunderbird 78.10.2 behebt das Problem.
Bei der Nutzung von PGP ist es üblich, den wichtigen geheimen Schlüssel mit einem Passwort zu schützen, um zu verhindern, dass zum Beispiel eine Schad- oder Schnüffel-Software, die den PC befallen hat, diesen Schlüssel einfach stehlen kann. Schließlich könnte ein Angreifer damit alle verschlüsselten Emails mitlesen oder auch eigene Emails mit der Identität des Opfers digital signieren.
So trat der Fehler auf
Der Fehler trat auf, wenn eine Thunderbird-Versionen von 78.8.1 bis 78.10.1 einen geheimen PGP-Schlüssel importierte. Bei diesem Vorgang wurde das zum Schutz vorgesehene Master-Passwort einfach ignoriert und der geheime Schlüssel dann ungeschützt auf der Festplatte des Rechners abgespeichert.
Die neue Version aktiviert nicht nur den Schutzmechanismus, sondern schützt auch die betroffenen Schlüssel nachträglich, erklärt das Mozilla-Team in seinen Security-Noes zu Thunderbird 78.10.2. Allerdings kann das Programm einen zwischenzeitlich erfolgten missbräuchlichen Zugriff auf die ungeschützten Keys weder entdecken noch ungeschehen machen…
Verharmlosende Fehlerbewertung durch Mozilla
Die Einstufung dieses als CVE-2021-29956 geführten Fehlers sorgt allerdings für Aufregung: Das Mozilla-Team bewertet das Problem nur mit der niedrigsten möglichen Stufe “Low”.
Das könnte dadurch motiviert sein, dass von dem Bug keine direkte Gefahr für den Rechner ausgeht und ein Angreifer auch für einen Diebstahl des Schlüssels zunächst Zugriff auf das System erlangen müsste.
Aber für PGP-Spezialisten rangiert der Schutz des geheimen Schlüssels sehr hoch, denn Immerhin beruht die komplette Funktion von PGP auf dessen Geheimhaltung. Deshalb dürften diese mit Mozillas Bewertung kaum einverstanden sein.
Weiterer OpenPGP-Fehler beseitigt
Zusätzlich beseitigt das Thunderbird-Update noch einen weiteren Fehler der OpenPGP-Implementierung: Eine PGP-geschützte Mail kann auch ungeschützte Teile enthalten, was dann allerdings dem Benutzer angezeigt werden sollte. Diese Kennzeichnung erfolgte beim Thunderbird nicht immer (CVE-2021-29957).