Kritische Lücken bedrohen Thunderbird-Nutzer

Posteo warnt vor 22 teilweise kritischen Sicherheitslücken in Thunderbird und Enigmail.

von Alexandra Lindner 22.12.2017

Posteo warnt vor teilweise kritischen Sicherheitslücken in Thunderbird und Enigmail. Dabei handelt es sich um eine Erweiterung des Mail-Clients, der für das Signieren und Verschlüsseln von Mails verwendet werden kann. Posteo hat in Kooperation mit dem Mozilla SOS Fund ein Audit durchführen lassen. Dabei wurden vor allem Lücken in der Add-on-Architektur von Thunderbird entdeckt. Betroffen sind dem Blogpost zufolge alle Nutzer des Mail-Clients.

Besonders kritisch bewerten die Experten die Add-On-Architektur von Thunderbird Besonders kritisch bewerten die Experten die Add-On-Architektur von Thunderbird Zoom© Mozilla

Ziel der Untersuchung sei es gewesen, Schwachstellen zu identifizieren und die geprüfte Software nachhaltig sicherer zu machen, so Posteo. Die Prüfung wurde von unabhängigen Sicherheitsingenieuren von Cure53 vorgenommen. Im Rahmen der Überprüfung wurden in den Tools unter anderem der Eingang von Mails (PGP und HTML), die generelle Verschlüsselung sowie PGP-Schlüsselpaare, der Kalender, der RSS-Feed und andere Funktionen mit Rich-Text untersucht.

Ein genauer Blick auf die Implementierung von Thunderbird und Enigmail offenbart eine weitere Verbreitung von Design-Mängeln, Sicherheitsproblemen und Fehler (...) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen werden, sagt einer der Tester.

Bei Enigmail wurde besonders kritisch bewertet, dass etwa die Signaturen sowie die Identitäten vorgetäuscht werden konnten. Ferner war es möglich, dass die verschlüsselte Kommunikation eines Nutzers von Dritten abgefangen und gegebenenfalls kompromittiert wurde.

In Thunderbird wiederum sehen die Experten die Add-on-Architektur als besonders kritisch. Durch manipulierte Plug-Ins beziehungsweise Add-ons war es Kriminellen unter bestimmten Voraussetzungen möglich an die E-Mail-Kommunikation zu gelangen. Davon betroffen wären sogar Ende-zu-Ende-verschlüsselte Nachrichten. Im schlimmsten Fall könnten Angreifer über diese Lücke sogar auf das gesamte System zugreifen. Neben den genannten Schwachstellen wurden auch kritische Lücken in Verbindung mit in Thunderbird integrierten RSS-Feeds entdeckt.

Enigmail hat gepatcht, Thunderbird noch nicht

Während Enigmail bereits einen entsprechenden Patch zur Verfügung gestellt hat und die aktuelle Version 1.9.9 zum Download bereitsteht, sieht es da bei Thunderbird anders aus. Hier werden die Lücken wohl erst mit einem der kommenden Updates geschlossen. Problematisch hierbei ist, dass Enigmail nicht alle Lücken selbstständig beheben kann. Etwa das grundsätzliche Problem mit den Add-ons liegt allein bei Thunderbird.

Bis die Fehler vollständig behoben sind, rät Posteo den Nutzern, den E-Mail-Client möglichst ohne Add-ons zu verwenden beziehungsweise nur auf aktuell geprüfte Erweiterungen zurückzugreifen. Ferner sollte auf jegliche RSS-Feeds in Thunderbird verzichtet werden. Ausserdem sollten Nutzer darauf achten, nicht versehentlich Add-ons durch Phishing zu installieren.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.