image

Thunderbird kan via remote content inhoud versleutelde berichten lekken

donderdag 14 november 2024, 11:57 door Redactie, 3 reacties

Thunderbird kan de inhoud van met OpenPGP versleutelde e-mail lekken als er gebruik wordt gemaakt van remote content. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen. Details over de kwetsbaarheid, aangeduid als CVE-2024-11159, zijn niet openbaar. De informatie is alleen toegankelijk op het bugplatform van Mozilla voor accounts met voldoende rechten.

De impact van de kwetsbaarheid wordt door Mozilla omschreven als 'High'. Ruim zes jaar geleden kreeg de e-mailclient met een soortgelijk beveiligingslek te maken. "Using remote content in encrypted messages can lead to the disclosure of plaintext", aldus de beschrijving van CVE-2018-5184. In plaats van 'encrypted' gebruikt CVE-2024-11159 de tekst 'OpenPGP encrypted', maar heeft verder een identieke beschrijving. Gebruikers worden opgeroepen om te updaten naar Thunderbird 128.4.3 waarin het probleem is verholpen.

Reacties (3)
14-11-2024, 13:00 door Anoniem
De Add-on Enigmail voor Thunderbird werkte altijd perfect in mijn beleving. Ik vond het niet zo nodig die samen te smelten met Thunderbird. Bovendien weet je nooit welke ministers van Justitie encryptie in de toekomst gaan verbieden en dan zit je met een illegale open source e-mail client.

Bovendien gebruikt Mozilla een fork van de officiële GnuPG waardoor je nooit zeker weet of mensen met de officiële GnuPG met je kunnen communiceren.

De problemen met het compacten van de mailboxen valt mij ook vies tegen van Thunderbird. Het lijkt wel dat elke nieuwe major versie deze problemen heeft de laatste jaren. Je zal er maar mail door kwijtraken.

Een Thunderbird gebruiker
14-11-2024, 15:26 door johanw - Bijgewerkt: 14-11-2024, 15:26
Ik draai nog steeds de laatste versie die de Enigmail plugin gebruikt en heb updates geblokkeerd. Externe GnuPG draait er prima mee, dan hief ik ook geen nieuwe sleutels aan te maken in Thunderbird die batuurlijk weer niet op mn telefoon te krijgen zijn. Smtp en IMAP zijn toch geen protocollen waar nog uiets aan vernieuwd wordt.
14-11-2024, 20:40 door Anoniem
Belangrijke zaakjes prive nooit per email.
Gewoon Session of Signal
Dat gebruikt de minister zelf ook graag.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.