Thunderbird 52.5.2, Enigmail 1.9.9 a bezpečnostní problém Mailsploit

Společnost Cure53 provedla bezpečnostní audit poštovního klienta Thunderbird a rozšíření Enigmail přidávající do Thunderbirdu podporu OpenPGP (pdf). Nalezeno bylo několik vážných bezpečnostních chyb. Řešeny jsou v Thunderbirdu 52.5.2 a Enigmailu 1.9.9. V nejnovější verzi Thunderbirdu je řešen také bezpečnostní problém Mailsploit týkající se více než 30 poštovních klientů (Tabulky Google). V poštovním klientu zobrazena emailová adresa odesílatele nemusí odpovídat skutečnosti. V nezobrazené části emailové adresy může být navíc obsažen kód, který může být poštovním klientem spuštěn.

Komentáře

23.12.2017 20:40 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Thunderbird 52.5.2, Enigmail 1.9.9 a bezpečnostní problém Mailsploit

Odpovědět | Sbalit | Link | Blokovat | Admin

V nejnovější verzi Thunderbirdu je řešen také bezpečnostní problém Mailsploit týkající se více než 30 poštovních klientů (Tabulky Google). V poštovním klientu zobrazena emailová adresa odesílatele nemusí odpovídat skutečnosti.

Komár, velbloud, whatever. To někdo pořád ještě věří hlavičce "From"?

V nezobrazené části emailové adresy může být navíc obsažen kód, který může být poštovním klientem spuštěn.

No, tak to už je hodně smutné.

27.12.2017 10:15 j
Rozbalit Rozbalit vše Re: Thunderbird 52.5.2, Enigmail 1.9.9 a bezpečnostní problém Mailsploit

O moc smutnejsi je spis to, ze v mailu vubec muze byt neco, co se da spustit (napriklad js).

Ale jak to tak čtu na mailsploit.com tak ten "code injection" se týká pouze vybraných klientů a Thunderbird mezi nimi není. Bylo by vhodné tu zprávičku upravit tak, aby to bylo zřejmé.