Почтовый клиент Mozilla Thunderbird хранил ключи OpenPGP открытым текстом - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Почтовый клиент Mozilla Thunderbird хранил ключи OpenPGP открытым текстом - «Новости»

✔Почтовый клиент Mozilla Thunderbird хранил ключи OpenPGP открытым текстом - «Новости»

26 мая 2021 660 Новости / Вёрстка / Списки / Преимущества стилей / Текст / Заработок 0

Исследователь обнаружил, что несколько месяцев Mozilla Thunderbird сохранял ключи OpenPGP некоторых пользователей в формате простого текста. Так, недавно пользователи Thunderbird осознали, что при открытии программы они могут просматривать электронные письма, зашифрованные OpenPGP, без ввода своих мастер-паролей. Такие сообщения в Thunderbird должны быть доступны для просмотра только после аутентификации.


Уязвимость получила идентификатор CVE-2021-29956 и низкий уровень серьезности. Баг затрагивал почтовый клиент всех версий между 78.8.1 и 78.10.1. Он позволял локальному злоумышленнику видеть импортированные ключи OpenPGP, сохраненные на устройствах пользователей, без шифрования. Таким образом, атакующий мог просмотреть и скопировать чужие ключи, а затем выдать себя за отправителя защищенных электронных писем.


Сопровождающий Thunderbird Кай Энгерт (Kai Engert) признает, что это была его личная ошибка, возникшая из-за недостатка тестирования. Дело в том, что несколько месяцев назад процессы обработки ключей были переписаны с целью улучшения их безопасности. Ранее процесс обработки недавно импортированных ключей OpenPGP в Thunderbird выглядел так:



  • импорт секретного ключа во временную область памяти;

  • разблокировка ключа, с использованием введенного пользователем пароля;

  • копирование ключа в постоянное хранилище;

  • защита ключа с помощью автоматического пароля OpenPGP в Thunderbird;

  • сохранение нового списка секретных ключей на диске.


Но, по словам Энгерта, после внесения изменений в код, получилось следующее (шаги 3 и 4 поменялись местами):



  • импорт секретного ключа во временную область памяти;

  • разблокировка ключа, с использованием введенного пользователем пароля;

  • защита ключа с помощью автоматического пароля OpenPGP в Thunderbird;

  • копирование ключа в постоянное хранилище;

  • сохранение нового списка секретных ключей на диске.


«Автор кода (то есть я) и рецензент предположили, что это будет равнозначно [прошлому варианту], — говорит Энгерт. — Но наше предположение, что защита секретного ключа в шаге 3 будет сохранена при копировании его в другую область… оказалось ложным».


Фактически, когда ключ копировался в постоянное хранилище, защита не копировалась вместе с ним из-за бага в  библиотеке RNP, которая используется в Thunderbird и браузере Mozilla Firefox для защиты ключей OpenPGP.


В Thunderbird версии 78.10.2 баг был исправлен, и теперь почтовый клиент будет проверять наличие незащищенных ключей в secring.gpg. Если такие ключи будут найдены, они будут преобразованы в защищенные.


Исследователь обнаружил, что несколько месяцев Mozilla Thunderbird сохранял ключи OpenPGP некоторых пользователей в формате простого текста. Так, недавно пользователи Thunderbird осознали, что при открытии программы они могут просматривать электронные письма, зашифрованные OpenPGP, без ввода своих мастер-паролей. Такие сообщения в Thunderbird должны быть доступны для просмотра только после аутентификации. Уязвимость получила идентификатор CVE-2021-29956 и низкий уровень серьезности. Баг затрагивал почтовый клиент всех версий между 78.8.1 и 78.10.1. Он позволял локальному злоумышленнику видеть импортированные ключи OpenPGP, сохраненные на устройствах пользователей, без шифрования. Таким образом, атакующий мог просмотреть и скопировать чужие ключи, а затем выдать себя за отправителя защищенных электронных писем. Сопровождающий Thunderbird Кай Энгерт (Kai Engert) признает, что это была его личная ошибка, возникшая из-за недостатка тестирования. Дело в том, что несколько месяцев назад процессы обработки ключей были переписаны с целью улучшения их безопасности. Ранее процесс обработки недавно импортированных ключей OpenPGP в Thunderbird выглядел так: импорт секретного ключа во временную область памяти; разблокировка ключа, с использованием введенного пользователем пароля; копирование ключа в постоянное хранилище; защита ключа с помощью автоматического пароля OpenPGP в Thunderbird; сохранение нового списка секретных ключей на диске. Но, по словам Энгерта, после внесения изменений в код, получилось следующее (шаги 3 и 4 поменялись местами): импорт секретного ключа во временную область памяти; разблокировка ключа, с использованием введенного пользователем пароля; защита ключа с помощью автоматического пароля OpenPGP в Thunderbird; копирование ключа в постоянное хранилище; сохранение нового списка секретных ключей на диске. «Автор кода (то есть я) и рецензент предположили, что это будет равнозначно _
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: