Thunderbird 是 Mozilla 旗下的開源電子郵件客戶端，在過去幾個月里，經過代碼重構之后的版本一直以純文本形式保存一些用戶的 OpenPGP 密鑰。

該漏洞的追蹤代碼為 CVE-2021-29956，存在于 78.8.1 到 78.10.1 版本中。值得慶幸的是，Mozilla 目前已在 78.10.2 版本中修復了該漏洞。

這個錯誤是在幾周前才發現的，當時該公司 E2EE 郵件列表中的一個用戶注意到，他們能夠在無需輸入主密碼的情況下，查看 OpenPGP 加密的電子郵件。通常在 Thunderbird 中，用戶首先需要驗證自己的身份，然后才能夠查看加密的電子郵件信息。

通過查看和復制這些 OpenPGP 密鑰，本地攻擊者可以利用這些密鑰來冒充發件人，向他們的聯系人發送惡意郵件。

Mozilla 表示："使用 Thunderbird 78.8.1 版至 78.10.1 版導入的 OpenPGP 密匙未被加密地存儲在用戶的本地磁盤上。這些密鑰的主密碼保護沒有被啟用。78.10.2 版將恢復對新導入密鑰的保護機制，并將自動保護使用了受影響的 Thunderbird 版本導入的鑰匙。"

Mozilla Thunderbird 項目的安全軟件開發人員 Kai Engert 解釋道："只要用戶配置了一個主密碼，當 Thunderbird 第一次需要訪問任何存儲的加密信息時，就會提示用戶輸入主密碼。如果輸入正確，對稱密鑰將被解鎖，并在剩余的會話中被記住，任何受保護的信息都可以根據需要被解鎖。"

Engert 還解釋道，Thunderbird 的密鑰處理過程已被重構，以保持其安全性，而這正是漏洞被引入的時候。在代碼重構之前，電子郵件客戶端會將密鑰復制到永久存儲區，然后使用 Thunderbird 的自動 OpenPGP 密鑰保護它。然而，在重構之后，Thunderbird 會先使用客戶端的自動 OpenPGP 密鑰進行保護，再將密鑰復制到永久存儲區。

Mozilla 認為，當把密匙復制到其他存儲區時，對密匙的保護會被保留下來，但事實證明并非如此，這導致用戶的 OpenPGP 密匙以純文本形式存儲了下來。

為了避免 OpenPGP 密鑰被暴露，Thunderbird 用戶應該將客戶端更新到 78.10.2 版本，以避免該錯誤。

本文轉自OSCHINA

本文標題：Mozilla Thunderbird 以明文存儲密鑰，目前問題已被修復

本文地址：https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext