日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Thunderbird 是 Mozilla 旗下的開源電子郵件客戶端，在過去幾個月里，經(jīng)過代碼重構(gòu)之后的版本一直以純文本形式保存一些用戶的 OpenPGP 密鑰。

成都創(chuàng)新互聯(lián)是一家專注于網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計與策劃設(shè)計,岳池網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10多年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:岳池等地區(qū)。岳池做網(wǎng)站價格咨詢:18982081108

該漏洞的追蹤代碼為 CVE-2021-29956，存在于 78.8.1 到 78.10.1 版本中。值得慶幸的是，Mozilla 目前已在 78.10.2 版本中修復(fù)了該漏洞。

這個錯誤是在幾周前才發(fā)現(xiàn)的，當時該公司 E2EE 郵件列表中的一個用戶注意到，他們能夠在無需輸入主密碼的情況下，查看 OpenPGP 加密的電子郵件。通常在 Thunderbird 中，用戶首先需要驗證自己的身份，然后才能夠查看加密的電子郵件信息。

通過查看和復(fù)制這些 OpenPGP 密鑰，本地攻擊者可以利用這些密鑰來冒充發(fā)件人，向他們的聯(lián)系人發(fā)送惡意郵件。

Mozilla 表示："使用 Thunderbird 78.8.1 版至 78.10.1 版導入的 OpenPGP 密匙未被加密地存儲在用戶的本地磁盤上。這些密鑰的主密碼保護沒有被啟用。78.10.2 版將恢復(fù)對新導入密鑰的保護機制，并將自動保護使用了受影響的 Thunderbird 版本導入的鑰匙。"

Mozilla Thunderbird 項目的安全軟件開發(fā)人員 Kai Engert 解釋道："只要用戶配置了一個主密碼，當 Thunderbird 第一次需要訪問任何存儲的加密信息時，就會提示用戶輸入主密碼。如果輸入正確，對稱密鑰將被解鎖，并在剩余的會話中被記住，任何受保護的信息都可以根據(jù)需要被解鎖。"

Engert 還解釋道，Thunderbird 的密鑰處理過程已被重構(gòu)，以保持其安全性，而這正是漏洞被引入的時候。在代碼重構(gòu)之前，電子郵件客戶端會將密鑰復(fù)制到永久存儲區(qū)，然后使用 Thunderbird 的自動 OpenPGP 密鑰保護它。然而，在重構(gòu)之后，Thunderbird 會先使用客戶端的自動 OpenPGP 密鑰進行保護，再將密鑰復(fù)制到永久存儲區(qū)。

Mozilla 認為，當把密匙復(fù)制到其他存儲區(qū)時，對密匙的保護會被保留下來，但事實證明并非如此，這導致用戶的 OpenPGP 密匙以純文本形式存儲了下來。

為了避免 OpenPGP 密鑰被暴露，Thunderbird 用戶應(yīng)該將客戶端更新到 78.10.2 版本，以避免該錯誤。

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：Mozilla Thunderbird 以明文存儲密鑰，目前問題已被修復(fù)

本文地址：https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext

文章標題：MozillaThunderbird以明文存儲密鑰，目前問題已被修復(fù)
鏈接分享：http://m.5511xx.com/article/djihoip.html