Klient poczty Mozilla Thunderbird dostępny w nowej wersji uodpornionej na atak EFAIL

Strona główna Aktualności
image
Klient pocztowy z depositphotos

O autorze

Właśnie otrzymaliśmy nową wersję popularnego klienta pocztowego Mozilla Thunderbird, uodpornioną w końcu na podatność EFAIL. Nie można powiedzieć, aby społeczność deweloperów uporała się z nią w imponującym tempie – dokumentacja EFAIL została upubliczniona w połowie… maja. Ponadto w nowej wersji programu, oznaczonej numerem 52.9.0, trafiły łatki na inne podatności oraz drobne poprawki.

Atak EFAIL, o którym pisaliśmy zaraz po zdjęciu embarga, z początku błędnie był postrzegany jako podatność metod szyfrowania PGP i S/MIME. Przechwycenia wiadomości w niezaszyfrowanej postaci można było jednak dokonać nie poprzez złamanie szyfrowanie, lecz lukę w renderowaniu HTML.

Gdy klient rysował maile, przed szyfrowaniem osadzane były one w znacznikach obrazka i przesyłane na serwery atakującego w postaci URL-a. W drugim wariancie wykorzystywane były bloki szyfru, pomiędzy którymi wykradano niezaszyfrowanego maila – w tym przypadku za pomocą jednego przygotowanego przez atakującego maila można było pobrać nawet 500 wiadomości.

Brak pośpiechu zespołu Thundebirda nie był bezpodstawny – aby zabezpieczyć się przed atakami wykorzystującymi EFAIL, wystarczyło wyłączyć renderowanie HTML-a w ustawieniach przeglądarki. W nowej wersji całkowicie wyeliminowano ten scenariusz ataku. Ponadto w wersji 52.9.0 programu załatano 13 podatności, z czego trzy oznaczono miały status krytycznych.

Poza łatkami bezpieczeństwa, w najnowszej wersji pojawiły się poprawki dwóch błędów: jeden związany był z wyświetlaniem maili w widoku prostym (komplikacje pojawiały się przy przekazywaniu tak wyświetlanych wiadomość), drugi dotyczył obsługi serwerów IMAP. Najnowszą wersję klienta można pobrać z naszej bazy oprogramowania.

© dobreprogramy