Klient poczty Mozilla Thunderbird dostępny w nowej wersji uodpornionej na atak EFAIL

Właśnie otrzymaliśmy nową wersję popularnego klienta pocztowego Mozilla Thunderbird, uodpornioną w końcu na podatność EFAIL. Nie można powiedzieć, aby społeczność deweloperów uporała się z nią w imponującym tempie – dokumentacja EFAIL została upubliczniona w połowie… maja. Ponadto w nowej wersji programu, oznaczonej numerem 52.9.0, trafiły łatki na inne podatności oraz drobne poprawki.

Thunderbird 60 pushed back a little. But Thunderbird 52.9 dropped, you can see the release notes here! https://t.co/B6lnsWVaBY

— Thunderbird (@mozthunderbird) 5 lipca 2018Atak EFAIL, o którym pisaliśmy zaraz po zdjęciu embarga, z początku błędnie był postrzegany jako podatność metod szyfrowania PGP i S/MIME. Przechwycenia wiadomości w niezaszyfrowanej postaci można było jednak dokonać nie poprzez złamanie szyfrowanie, lecz lukę w renderowaniu HTML.

Gdy klient rysował maile, przed szyfrowaniem osadzane były one w znacznikach obrazka i przesyłane na serwery atakującego w postaci URL-a. W drugim wariancie wykorzystywane były bloki szyfru, pomiędzy którymi wykradano niezaszyfrowanego maila – w tym przypadku za pomocą jednego przygotowanego przez atakującego maila można było pobrać nawet 500 wiadomości.

Brak pośpiechu zespołu Thundebirda nie był bezpodstawny – aby zabezpieczyć się przed atakami wykorzystującymi EFAIL, wystarczyło wyłączyć renderowanie HTML-a w ustawieniach przeglądarki. W nowej wersji całkowicie wyeliminowano ten scenariusz ataku. Ponadto w wersji 52.9.0 programu załatano 13 podatności, z czego trzy oznaczono miały status krytycznych.

Poza łatkami bezpieczeństwa, w najnowszej wersji pojawiły się poprawki dwóch błędów: jeden związany był z wyświetlaniem maili w widoku prostym (komplikacje pojawiały się przy przekazywaniu tak wyświetlanych wiadomość), drugi dotyczył obsługi serwerów IMAP. Najnowszą wersję klienta można pobrać z naszej bazy oprogramowania.