Enigmail: Kritische Sicherheitslücken entdeckt
Cure 53 hat mal wieder zugeschlagen und wurde damit beauftragt, dass Thunderbird Addon Enigmail auf Schwachstellen hin zu untersuchen. Im gekürzten Report finden sich Details zu schwerwiegenden Sicherheitslücken. Unter anderem kann Enigmail ein falscher und von einem Angreifer kontrollierter Schlüssel untergeschoben werden – die Ursache ist eine Schwachstelle (TBE-01-002) in der Verarbeitung eines regulären Ausdrucks.
Die weiteren kritischen Schwachstellen kurz zusammengefasst:
- TBE-01-005: Erlaubt es einem Angreifer, verschlüsselte Inhalte im Klartext zu lesen.
- TBE-01-021: Fälschen der Absenderadresse inklusive Missbrauch einer fremden E-Mail Signatur. Es sieht dann so aus, als sei der Inhalt einer E-Mail von Person XY signiert.
Das sind natürlich gravierende Schwachstellen. Ein vollständer Report wird von cure53 erst nach dem Schließen der Sicherheitslücken veröffentlicht.
Unterstütze den Blog mit einem Dauerauftrag!
Mitmachen ➡
19. Juli 2013
Verschlüsselte E-Mails mit GnuPG als Supergrundrecht
E-Mail Verschlüsselung mit GnuPG als Schutz gegen Datenschnüffellei.
16. November 2015
Android: CM Security Update Schwachstelle
CM Security hat eine Schwachstelle im Update Prozess der Signaturdatenbanken für Viren und Schadsoftware.
7. Dezember 2016
Schwachstellen in Plugins und Themes – WordPress Sicherheit Teil3
WordPress: Tipps zur Vorbeugung gegen die Auswirkung von Schwachstellen in Plugins und Themes
8. August 2017
GnuPG: Das Dilemma mit den Schlüsselservern
Bei der E-Mail-Verschlüsselung via GnuPG solltet ihr euren Kontakt immer via Fingerprint verifizieren.
12. Juni 2017
Die Update-Problematik bei Android – Android unter Kontrolle Teil2
Aufgrund nachlässiger Hersteller sind die meisten Android-Geräte, aufgrund ausbleibender Sicherheitsupdates, einem hohen Risiko ausgesetzt.