Abo
  • IT-Karriere:

E-Mail-Verschlüsselung: Sicherheitslücke in Pep/Enigmail geschlossen

Durch eine Sicherheitslücke in der Pretty-Easy-Privacy-Funktion hat die Thunderbird-Erweiterung Enigmail manchmal unverschlüsselte E-Mails versendet, die eigentlich verschlüsselt sein sollten. Die Ursache wurde gefunden und das Problem behoben.

Artikel veröffentlicht am ,
Nachrichten, die mit Pep/Enigmail verschlüsselt wurden, sind wieder zuverlässig verschlüsselt.
Nachrichten, die mit Pep/Enigmail verschlüsselt wurden, sind wieder zuverlässig verschlüsselt. (Bild: Georgy Rudakov/Unsplash)

Die Software Pretty Easy Privacy (Pep) vereinfacht den Umgang mit OpenPGP. Sie wird unter anderem mit der Thunderbird-Erweiterung Enigmail ausgeliefert. Durch einen fatalen Fehler in der Windows-Version der Software konnten unter bestimmten Umständen E-Mails unverschlüsselt übertragen werden. Dem Nutzer wurde fälschlicherweise angezeigt, dass die E-Mails verschlüsselt worden seien. Der Fehler wurde von der Pep-Foundation, die die Software entwickelt, behoben.

Stellenmarkt
  1. ADAC Luftrettung gGmbH, München
  2. Hornbach-Baumarkt-AG, Bornheim (Pfalz)

Eingeführt wurde der Fehler mit Version 1.0.23 vom 26. September. Die Pep-Foundation reagierte umgehend auf die Entdeckung der Sicherheitslücke durch das Magazin c't und zog die Version am 3.Oktober zurück. Mit der jetzt erschienenen Version 1.0.24 sei das Problem behoben worden. Außerdem seien damit neue Tests und eine bessere Fehlerbehandlung für Enigmail eingeführt worden.

Auslöser der Sicherheitslücke war ein Build-Fehler in der Windows-Version von Enigmail/Pep, welcher laut einem Blogeintrag der Pep-Foundation auf menschliches Versagen zurückzuführen ist. Eine nicht verlinkte Bibliothek in Pep führte zu einem Absturz und unverschlüsselten Nachrichten. Enigmail versendete die unverschlüsselten E-Mails mangels entsprechender Fehlerbehandlung. Der Footer zeigte trotzdem die Anzeige "Privatsphärenstatus: Sicher & Vertraut", die eigentlich nur erscheinen soll, wenn die E-Mails verschlüsselt übertragen werden.

Als vorläufigen Workaround empfahlen die Pep-Entwickler, den Junior-Modus auszuschalten und nur die normale Enigmail-Funktionalität zu nutzen. Mit der neuen Version könne dieser wieder gefahrlos aktiviert werden. Nach Angaben des Enigmail-Hauptentwicklers Patrick Brunschwig waren maximal 6.000 der 145.000 Installationen betroffen.

Zu den Kommentaren springen
Meistgelesen
  1. Elektroauto von VW
    Es hat sich bald ausgegolft
  2. Arbeit im Amt
    Wichtig ist ein Talent zum Zeittotschlagen
  3. Surface Pro X im Hands on
    ARM macht arm
  4. Videostreaming
    Netflix klassifiziert Zuschauer nach drei Gruppen
  5. Gpi Case
    Der Raspberry Pi Zero wird zum Game Boy mit AA-Batterien
Anzeige
Spiele-Angebote
  1. (-75%) 9,99€
  2. 17,99€
  3. 39,99€ (Release am 3. Dezember)
  4. 4,99€
Kommentarübersicht
Re: Sicherheitslücke in FOSS vs Closed Source
ikhaya 16. Okt 2018

Also in dem Fall ist "keine Gefahr " etwas untertrieben. Windows Nutzern wurde...

Folgen Sie uns
       
Oneplus 7T - Fazit

Das Oneplus 7T ist der Nachfolger des Oneplus 7 - und hat einige interessante Hardware-Upgrades bekommen. Im Test von Golem.de schneidet das Smartphone entsprechend gut ab.

Oneplus 7T - Fazit Video aufrufen
Angespielt
Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
Datensicherheit
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten
3DMark
16K-Videos: 400 MByte für einen Screenshot
16K-Videos
400 MByte für einen Screenshot

Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
Eine Anleitung von Joachim Otahal

  1. UL 3DMark Feature Test prüft variable Shading-Rate
  2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /