Abo
  • IT-Karriere:

E-Mail-Verschlüsselung: Sicherheitslücke in Pep/Enigmail geschlossen

Durch eine Sicherheitslücke in der Pretty-Easy-Privacy-Funktion hat die Thunderbird-Erweiterung Enigmail manchmal unverschlüsselte E-Mails versendet, die eigentlich verschlüsselt sein sollten. Die Ursache wurde gefunden und das Problem behoben.

Artikel veröffentlicht am ,
Nachrichten, die mit Pep/Enigmail verschlüsselt wurden, sind wieder zuverlässig verschlüsselt.
Nachrichten, die mit Pep/Enigmail verschlüsselt wurden, sind wieder zuverlässig verschlüsselt. (Bild: Georgy Rudakov/Unsplash)

Die Software Pretty Easy Privacy (Pep) vereinfacht den Umgang mit OpenPGP. Sie wird unter anderem mit der Thunderbird-Erweiterung Enigmail ausgeliefert. Durch einen fatalen Fehler in der Windows-Version der Software konnten unter bestimmten Umständen E-Mails unverschlüsselt übertragen werden. Dem Nutzer wurde fälschlicherweise angezeigt, dass die E-Mails verschlüsselt worden seien. Der Fehler wurde von der Pep-Foundation, die die Software entwickelt, behoben.

Stellenmarkt
  1. H&D - An HCL Technologies Company, Gifhorn
  2. Landesanstalt für Landwirtschaft, Ernährung und Ländlichen Raum, Schwäbisch Gmünd

Eingeführt wurde der Fehler mit Version 1.0.23 vom 26. September. Die Pep-Foundation reagierte umgehend auf die Entdeckung der Sicherheitslücke durch das Magazin c't und zog die Version am 3.Oktober zurück. Mit der jetzt erschienenen Version 1.0.24 sei das Problem behoben worden. Außerdem seien damit neue Tests und eine bessere Fehlerbehandlung für Enigmail eingeführt worden.

Auslöser der Sicherheitslücke war ein Build-Fehler in der Windows-Version von Enigmail/Pep, welcher laut einem Blogeintrag der Pep-Foundation auf menschliches Versagen zurückzuführen ist. Eine nicht verlinkte Bibliothek in Pep führte zu einem Absturz und unverschlüsselten Nachrichten. Enigmail versendete die unverschlüsselten E-Mails mangels entsprechender Fehlerbehandlung. Der Footer zeigte trotzdem die Anzeige "Privatsphärenstatus: Sicher & Vertraut", die eigentlich nur erscheinen soll, wenn die E-Mails verschlüsselt übertragen werden.

Als vorläufigen Workaround empfahlen die Pep-Entwickler, den Junior-Modus auszuschalten und nur die normale Enigmail-Funktionalität zu nutzen. Mit der neuen Version könne dieser wieder gefahrlos aktiviert werden. Nach Angaben des Enigmail-Hauptentwicklers Patrick Brunschwig waren maximal 6.000 der 145.000 Installationen betroffen.



Anzeige
Top-Angebote
  1. (neue und limitierte Produkte exklusiv für Prime-Mitglieder)
  2. (u. a. 256-GB-microSDXC für 36,99€ - Bestpreis!)
  3. (u. a. Seagate Barracuda 250-GB-SSD für 39,99€)

ikhaya 16. Okt 2018

Also in dem Fall ist "keine Gefahr " etwas untertrieben. Windows Nutzern wurde...


Folgen Sie uns
       


Pixel 3a und 3a XL - Test

Das Pixel 3a und das PIxel 3a XL sind Googles neue Mittelklasse-Smartphones. Beide haben die gleiche Kamera wie das Pixel 3.

Pixel 3a und 3a XL - Test Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. Telefónica Deutschland Samsung will in Deutschland 5G-Netze aufbauen
  2. Landtag Niedersachsen beschließt Ausstieg aus DAB+
  3. Vodafone 5G-Technik funkt im Werk des Elektroautoherstellers e.Go

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


    Autonomes Fahren: Per Fernsteuerung durch die Baustelle
    Autonomes Fahren
    Per Fernsteuerung durch die Baustelle

    Was passiert, wenn autonome Autos in einer Verkehrssituation nicht mehr weiterwissen? Ein Berliner Fraunhofer-Institut hat dazu eine sehr datensparsame Fernsteuerung entwickelt. Doch es wird auch vor der Technik gewarnt.
    Ein Bericht von Friedhelm Greis

    1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
    2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
    3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

      •  /