Add-on-Architektur

Posteo warnt vor Sicherheitslücken in Thunderbird

von - 21.12.2017
Mail Client
Foto: ra2studio / shutterstock.com
Posteo warnt vor 22 teilweise kritischen Sicherheitslücken in Thunderbird und Enigmail. Die Fehler wurden im Rahmen eines in Kooperation mit dem Mozilla SOS Fund veranlassten Audit entdeckt.
Posteo warnt vor teilweise kritischen Sicherheitslücken in Thunderbird und Enigmail. Dabei handelt es sich um eine Erweiterung des Mail-Clients, der für das Signieren und Verschlüsseln von Mails verwendet werden kann. Posteo hat in Kooperation mit dem Mozilla SOS Fund ein Audit durchführen lassen. Dabei wurden vor allem Lücken in der Add-on-Architektur von Thunderbird entdeckt. Betroffen sind dem Blogpost zufolge alle Nutzer des Mail-Clients.
Thunderbird Add-On Enigmail
Besonders kritisch bewerten die Experten die Add-On-Architektur von Thunderbird.
(Quelle: Mozilla )
Ziel der Untersuchung sei es gewesen, Schwachstellen zu identifizieren und die geprüfte Software nachhaltig sicherer zu machen, so Posteo. Die Prüfung wurde von unabhängigen Sicherheitsingenieuren von Cure53 vorgenommen. Im Rahmen der Überprüfung wurden in den Tools unter anderem der Eingang von Mails (PGP und HTML), die generelle Verschlüsselung sowie PGP-Schlüsselpaare, der Kalender, der RSS-Feed und andere Funktionen mit Rich-Text untersucht.
"Ein genauer Blick auf die Implementierung von Thunderbird und Enigmail offenbart eine weitere Verbreitung von Design-Mängeln, Sicherheitsproblemen und Fehler (...) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen werden", sagt einer der Tester.
Bei Enigmail wurde besonders kritisch bewertet, dass etwa die Signaturen sowie die Identitäten vorgetäuscht werden konnten. Ferner war es möglich, dass die verschlüsselte Kommunikation eines Nutzers von Dritten abgefangen und gegebenenfalls kompromittiert wurde.
In Thunderbird wiederum sehen die Experten die Add-on-Architektur als besonders kritisch. Durch manipulierte Plug-Ins beziehungsweise Add-ons war es Kriminellen unter bestimmten Voraussetzungen möglich an die E-Mail-Kommunikation zu gelangen. Davon betroffen wären sogar Ende-zu-Ende-verschlüsselte Nachrichten. Im schlimmsten Fall könnten Angreifer über diese Lücke sogar auf das gesamte System zugreifen. Neben den genannten Schwachstellen wurden auch kritische Lücken in Verbindung mit in Thunderbird integrierten RSS-Feeds entdeckt.

Enigmail hat alle Lücken gepatcht, Thunderbird noch nicht

Während Enigmail bereits einen entsprechenden Patch zur Verfügung gestellt hat und die aktuelle Version 1.9.9 zum Download bereitsteht, sieht es da bei Thunderbird anders aus. Hier werden die Lücken wohl erst mit einem der kommenden Updates geschlossen. Problematisch hierbei ist, dass Enigmail nicht alle Lücken selbstständig beheben kann. Etwa das grundsätzliche Problem mit den Add-ons liegt allein bei Thunderbird.
Bis die Fehler vollständig behoben sind, rät Posteo den Nutzern, den E-Mail-Client möglichst ohne Add-ons zu verwenden beziehungsweise nur auf aktuell geprüfte Erweiterungen zurückzugreifen. Ferner sollte auf jegliche RSS-Feeds in Thunderbird verzichtet werden. Außerdem sollten Nutzer darauf achten, nicht versehentlich Add-ons durch Phishing zu installieren.
Verwandte Themen