Mozilla Thunderbird 以明文存储密钥，目前问题已被修复

Thunderbird 是 Mozilla 旗下的开源电子邮件客户端，在过去几个月里，经过代码重构之后的版本一直以纯文本形式保存一些用户的OpenPGP密钥。

该漏洞的追踪代码为 CVE-2021-29956，存在于 78.8.1 到 78.10.1 版本中。值得庆幸的是，Mozilla 目前已在78.10.2版本中修复了该漏洞。

这个错误是在几周前才发现的，当时该公司 E2EE 邮件列表中的一个用户注意到，他们能够在无需输入主密码的情况下，查看 OpenPGP加密的电子邮件。通常在Thunderbird 中，用户首先需要验证自己的身份，然后才能够查看加密的电子邮件信息。

通过查看和复制这些 OpenPGP 密钥，本地攻击者可以利用这些密钥来冒充发件人，向他们的联系人发送恶意邮件。

Mozilla 表示："使用 Thunderbird 78.8.1 版至 78.10.1 版导入的OpenPGP密匙未被加密地存储在用户的本地磁盘上。这些密钥的主密码保护没有被启用。78.10.2版将恢复对新导入密钥的保护机制，并将自动保护使用了受影响的Thunderbird 版本导入的钥匙。"

Mozilla Thunderbird 项目的安全软件开发人员 Kai Engert 解释道："只要用户配置了一个主密码，当Thunderbird第一次需要访问任何存储的加密信息时，就会提示用户输入主密码。如果输入正确，对称密钥将被解锁，并在剩余的会话中被记住，任何受保护的信息都可以根据需要被解锁。"

Engert还解释道，Thunderbird的密钥处理过程已被重构，以保持其安全性，而这正是漏洞被引入的时候。在代码重构之前，电子邮件客户端会将密钥复制到永久存储区，然后使用Thunderbird的自动 OpenPGP 密钥保护它。然而，在重构之后，Thunderbird 会先使用客户端的自动OpenPGP密钥进行保护，再将密钥复制到永久存储区。

Mozilla 认为，当把密匙复制到其他存储区时，对密匙的保护会被保留下来，但事实证明并非如此，这导致用户的 OpenPGP密匙以纯文本形式存储了下来。

为了避免 OpenPGP 密钥被暴露，Thunderbird 用户应该将客户端更新到 78.10.2 版本，以避免该错误。

本文转自OSCHINA

本文标题：Mozilla Thunderbird 以明文存储密钥，目前问题已被修复

本文地址：https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext