E-Mail-Verschlüsselung: Sicherheitslücke in Pep/Enigmail geschlossen

Durch eine Sicherheitslücke in der Pretty-Easy-Privacy-Funktion hat die Thunderbird-Erweiterung Enigmail manchmal unverschlüsselte E-Mails versendet, die eigentlich verschlüsselt sein sollten. Die Ursache wurde gefunden und das Problem behoben.

Artikel veröffentlicht am ,
Nachrichten, die mit Pep/Enigmail verschlüsselt wurden, sind wieder zuverlässig verschlüsselt.
Nachrichten, die mit Pep/Enigmail verschlüsselt wurden, sind wieder zuverlässig verschlüsselt. (Bild: Georgy Rudakov/Unsplash)

Die Software Pretty Easy Privacy (Pep) vereinfacht den Umgang mit OpenPGP. Sie wird unter anderem mit der Thunderbird-Erweiterung Enigmail ausgeliefert. Durch einen fatalen Fehler in der Windows-Version der Software konnten unter bestimmten Umständen E-Mails unverschlüsselt übertragen werden. Dem Nutzer wurde fälschlicherweise angezeigt, dass die E-Mails verschlüsselt worden seien. Der Fehler wurde von der Pep-Foundation, die die Software entwickelt, behoben.

Stellenmarkt
  1. Softwareentwickler (w/m/d) SCADA (WEB)
    SSI SCHÄFER Automation GmbH, Giebelstadt
  2. Product Manager/in Manufacturing (m/w/d)
    Haufe Group, Freiburg, München
Detailsuche

Eingeführt wurde der Fehler mit Version 1.0.23 vom 26. September. Die Pep-Foundation reagierte umgehend auf die Entdeckung der Sicherheitslücke durch das Magazin c't und zog die Version am 3.Oktober zurück. Mit der jetzt erschienenen Version 1.0.24 sei das Problem behoben worden. Außerdem seien damit neue Tests und eine bessere Fehlerbehandlung für Enigmail eingeführt worden.

Auslöser der Sicherheitslücke war ein Build-Fehler in der Windows-Version von Enigmail/Pep, welcher laut einem Blogeintrag der Pep-Foundation auf menschliches Versagen zurückzuführen ist. Eine nicht verlinkte Bibliothek in Pep führte zu einem Absturz und unverschlüsselten Nachrichten. Enigmail versendete die unverschlüsselten E-Mails mangels entsprechender Fehlerbehandlung. Der Footer zeigte trotzdem die Anzeige "Privatsphärenstatus: Sicher & Vertraut", die eigentlich nur erscheinen soll, wenn die E-Mails verschlüsselt übertragen werden.

Als vorläufigen Workaround empfahlen die Pep-Entwickler, den Junior-Modus auszuschalten und nur die normale Enigmail-Funktionalität zu nutzen. Mit der neuen Version könne dieser wieder gefahrlos aktiviert werden. Nach Angaben des Enigmail-Hauptentwicklers Patrick Brunschwig waren maximal 6.000 der 145.000 Installationen betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
New World im Test
Amazon liefert ordentlich Abenteuer

Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
Von Peter Steinlechner

New World im Test: Amazon liefert ordentlich Abenteuer
Artikel
  1. Nasa: Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet
    Nasa
    Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet

    Erstmals sollen Asteroiden in der Umlaufbahn des Jupiter untersucht werden. Der Start der Raumsonde Lucy ist laut Nasa geglückt.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /