Mozilla Thunderbird 以明文存储密钥，目前问题已被修复

Thunderbird 是 Mozilla 旗下的开源电子邮件客户端，在过去几个月里，经过代码重构之后的版本一直以纯文本形式保存一些用户的 OpenPGP 密钥。

该漏洞的追踪代码为 CVE-2021-29956，存在于 78.8.1 到 78.10.1 版本中。值得庆幸的是，Mozilla 目前已在 78.10.2 版本中修复了该漏洞。

这个错误是在几周前才发现的，当时该公司 E2EE 邮件列表中的一个用户注意到，他们能够在无需输入主密码的情况下，查看 OpenPGP 加密的电子邮件。通常在 Thunderbird 中，用户首先需要验证自己的身份，然后才能够查看加密的电子邮件信息。

通过查看和复制这些 OpenPGP 密钥，本地攻击者可以利用这些密钥来冒充发件人，向他们的联系人发送恶意邮件。

Mozilla 表示：”使用 Thunderbird 78.8.1 版至 78.10.1 版导入的 OpenPGP 密匙未被加密地存储在用户的本地磁盘上。这些密钥的主密码保护没有被启用。78.10.2 版将恢复对新导入密钥的保护机制，并将自动保护使用了受影响的 Thunderbird 版本导入的钥匙。”

Mozilla Thunderbird 项目的安全软件开发人员 Kai Engert 解释道：”只要用户配置了一个主密码，当 Thunderbird 第一次需要访问任何存储的加密信息时，就会提示用户输入主密码。如果输入正确，对称密钥将被解锁，并在剩余的会话中被记住，任何受保护的信息都可以根据需要被解锁。”

Engert 还解释道，Thunderbird 的密钥处理过程已被重构，以保持其安全性，而这正是漏洞被引入的时候。在代码重构之前，电子邮件客户端会将密钥复制到永久存储区，然后使用 Thunderbird 的自动 OpenPGP 密钥保护它。然而，在重构之后，Thunderbird 会先使用客户端的自动 OpenPGP 密钥进行保护，再将密钥复制到永久存储区。

Mozilla 认为，当把密匙复制到其他存储区时，对密匙的保护会被保留下来，但事实证明并非如此，这导致用户的 OpenPGP 密匙以纯文本形式存储了下来。

为了避免 OpenPGP 密钥被暴露，Thunderbird 用户应该将客户端更新到 78.10.2 版本，以避免该错误。

本文转自OSCHINA

本文标题：Mozilla Thunderbird 以明文存储密钥，目前问题已被修复

本文地址：https://www.oschina.net/news/143297/thunderbird-stores-keys-in-plaintext