E-mailclient Thunderbird controleerde niet of S/Mime-certificaten zijn ingetrokken, waardoor e-mail die met een ingetrokken certificaat is gesigneerd wordt weergeven alsof die over een geldige handtekening beschikt. Er is een update voor Thunderbird uitgekomen die de kwetsbaarheid, aangeduid als CVE-2023-0430 verhelpt. Via een S/Mime-certificaat is het mogelijk om een e-mail digitaal te signeren.
Zo is de identiteit van de afzender te verifiëren, kan worden bevestigd dat de afzender het bericht daadwerkelijk heeft verstuurd en dat de inhoud niet is aangepast. Thunderbird kan via het Online Certificate Status Protocol (OCSP) controleren of een certificaat is ingetrokken. In dit geval hoort de e-mailclient een melding te geven dat de e-mail digitaal is gesigneerd, maar een ongeldige handtekening bevat. Thunderbird bleek deze controle echter niet uit te voeren en gaf ook bij een ingetrokken certificaat weer dat de e-mail over een geldige handtekening beschikte. Dat is in versie 102.7.1 verholpen.
Daarnaast verhelpt deze versie ook een probleem met de authenticatie van Microsoft Office 365-accounts, waardoor ook deze gebruikers weer via Thunderbird kunnen inloggen. Vanwege dit specifieke probleem werd besloten om Thunderbird 102.7.0 niet automatisch onder gebruikers uit te rollen. Thunderbird kondigde een oplossing aan, maar die bleek in eerste instantie niet werken. Alleen wanneer gebruikers handmatig op updates zochten werd Thunderbird 102.7.0 daarom geïnstalleerd. Met de komst van Thunderbird 102.7.1 worden updates weer automatisch onder alle gebruikers uitgerold.
Deze posting is gelocked. Reageren is niet meer mogelijk.