E-Mail-Verschlüsselung: Sicherheitslücke in Pep/Enigmail geschlossen
Die Software Pretty Easy Privacy (Pep) vereinfacht den Umgang mit OpenPGP. Sie wird unter anderem mit der Thunderbird-Erweiterung Enigmail ausgeliefert. Durch einen fatalen Fehler in der Windows-Version der Software konnten unter bestimmten Umständen E-Mails unverschlüsselt übertragen werden. Dem Nutzer wurde fälschlicherweise angezeigt, dass die E-Mails verschlüsselt worden seien. Der Fehler wurde von der Pep-Foundation, die die Software entwickelt, behoben.
Eingeführt wurde der Fehler mit Version 1.0.23 vom 26. September. Die Pep-Foundation reagierte umgehend auf die Entdeckung der Sicherheitslücke durch das Magazin c't(öffnet im neuen Fenster) und zog die Version am 3.Oktober zurück(öffnet im neuen Fenster) . Mit der jetzt erschienenen Version 1.0.24 sei das Problem behoben worden. Außerdem seien damit neue Tests und eine bessere Fehlerbehandlung für Enigmail eingeführt worden.
Auslöser der Sicherheitslücke war ein Build-Fehler in der Windows-Version von Enigmail/Pep, welcher laut einem Blogeintrag der Pep-Foundation(öffnet im neuen Fenster) auf menschliches Versagen zurückzuführen ist. Eine nicht verlinkte Bibliothek in Pep führte zu einem Absturz und unverschlüsselten Nachrichten. Enigmail versendete die unverschlüsselten E-Mails mangels entsprechender Fehlerbehandlung. Der Footer zeigte trotzdem die Anzeige "Privatsphärenstatus: Sicher & Vertraut", die eigentlich nur erscheinen soll, wenn die E-Mails verschlüsselt übertragen werden.
Als vorläufigen Workaround empfahlen die Pep-Entwickler, den Junior-Modus auszuschalten und nur die normale Enigmail-Funktionalität zu nutzen. Mit der neuen Version könne dieser wieder gefahrlos aktiviert werden. Nach Angaben des Enigmail-Hauptentwicklers Patrick Brunschwig waren maximal 6.000 der 145.000 Installationen betroffen.