Abo
  • Services:

E-Mail-Verschlüsselung: Sicherheitslücke in Pep/Enigmail geschlossen

Durch eine Sicherheitslücke in der Pretty-Easy-Privacy-Funktion hat die Thunderbird-Erweiterung Enigmail manchmal unverschlüsselte E-Mails versendet, die eigentlich verschlüsselt sein sollten. Die Ursache wurde gefunden und das Problem behoben.

Artikel veröffentlicht am ,
Nachrichten, die mit Pep/Enigmail verschlüsselt wurden, sind wieder zuverlässig verschlüsselt.
Nachrichten, die mit Pep/Enigmail verschlüsselt wurden, sind wieder zuverlässig verschlüsselt. (Bild: Georgy Rudakov/Unsplash)

Die Software Pretty Easy Privacy (Pep) vereinfacht den Umgang mit OpenPGP. Sie wird unter anderem mit der Thunderbird-Erweiterung Enigmail ausgeliefert. Durch einen fatalen Fehler in der Windows-Version der Software konnten unter bestimmten Umständen E-Mails unverschlüsselt übertragen werden. Dem Nutzer wurde fälschlicherweise angezeigt, dass die E-Mails verschlüsselt worden seien. Der Fehler wurde von der Pep-Foundation, die die Software entwickelt, behoben.

Stellenmarkt
  1. ESO Education Group, Deutschland
  2. Beckhoff Automation GmbH & Co. KG, Balingen

Eingeführt wurde der Fehler mit Version 1.0.23 vom 26. September. Die Pep-Foundation reagierte umgehend auf die Entdeckung der Sicherheitslücke durch das Magazin c't und zog die Version am 3.Oktober zurück. Mit der jetzt erschienenen Version 1.0.24 sei das Problem behoben worden. Außerdem seien damit neue Tests und eine bessere Fehlerbehandlung für Enigmail eingeführt worden.

Auslöser der Sicherheitslücke war ein Build-Fehler in der Windows-Version von Enigmail/Pep, welcher laut einem Blogeintrag der Pep-Foundation auf menschliches Versagen zurückzuführen ist. Eine nicht verlinkte Bibliothek in Pep führte zu einem Absturz und unverschlüsselten Nachrichten. Enigmail versendete die unverschlüsselten E-Mails mangels entsprechender Fehlerbehandlung. Der Footer zeigte trotzdem die Anzeige "Privatsphärenstatus: Sicher & Vertraut", die eigentlich nur erscheinen soll, wenn die E-Mails verschlüsselt übertragen werden.

Als vorläufigen Workaround empfahlen die Pep-Entwickler, den Junior-Modus auszuschalten und nur die normale Enigmail-Funktionalität zu nutzen. Mit der neuen Version könne dieser wieder gefahrlos aktiviert werden. Nach Angaben des Enigmail-Hauptentwicklers Patrick Brunschwig waren maximal 6.000 der 145.000 Installationen betroffen.

Zu den Kommentaren springen
Meistgelesen
  1. Wissenschaft
    Die Neuvermessung der Welt
  2. Fallout 76 im Test
    Die große postnukleare Leere
  3. Macbook Air 2018 im Test
    Kein Pokal im Leichtgewicht, dafür Gold im Dauerlauf
  4. Wissenschaft
    Rekorde ohne Nutzen
  5. Arca OS im Test
    Die Auferstehung von OS/2
Anzeige
Hardware-Angebote
  2. 119,90€
  3. täglich neue Deals bei Alternate.de
Kommentarübersicht
Re: Sicherheitslücke in FOSS vs Closed Source
ikhaya 16. Okt 2018 / Themenstart

Also in dem Fall ist "keine Gefahr " etwas untertrieben. Windows Nutzern wurde...

Kommentieren

Folgen Sie uns
       
Amazons Kindle Paperwhite (2018) - Hands on

Amazons neue Version des Kindle Paperwhite steckt in einem wasserdichten Gehäuse. Außerdem unterstützt der E-Book-Reader Audible-Hörbücher und hat mehr Speicher bekommen. Das neue Modell ist zum Preis von 120 Euro zu haben.

Amazons Kindle Paperwhite (2018) - Hands on Video aufrufen
GPG
E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung
Mobile Games
Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs
Battlefield
Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /