PGP: Enigmail verschickt unverschlüsselte BCCs

Wegen eines Fehlers in der PGP-Erweiterung Enigmail werden E-Mails an BCC-Empfänger unverschlüsselt versendet. In Version 1.7.2 ist der Fehler behoben worden.

10. September 2014 um 11:41 Uhr / Jörg Thoma

16 Kommentare News folgen (öffnet im neuen Fenster)

In Enigmail wurden E-Mails an BCC-Empfänger nicht verschlüsselt. (Bild: Daniele Raffo) — In Enigmail wurden E-Mails an BCC-Empfänger nicht verschlüsselt. Bild: Daniele Raffo

Bereits Mitte August 2014 entdeckten Nutzer einen gravierenden Fehler(öffnet im neuen Fenster) im PGP-Plugin Enigmail(öffnet im neuen Fenster) für Thunderbird(öffnet im neuen Fenster) . E-Mails, die an Empfänger in BCC gesendet wurden, wurden teils unverschlüsselt versendet. Der Fehler wurde in Version 1.7.2 behoben(öffnet im neuen Fenster) , die am 29. August 2014 veröffentlicht wurde.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Team-Lead IT (m/w/d) Wohnungsgenossenschaft Freiberg eG, Freiberg (öffnet im neuen Fenster)

Administrator*in für den IT-Service Storage IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Product Engineer for Software and Workstations (m/f/d) Advantest Europe GmbH, Böblingen (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) Stadt Freiberg a. N., Freiberg am Neckar (öffnet im neuen Fenster)

Lernbegleiter:in / Trainer:in für SPS-Programmierung (m/w/d) WBS TRAINING AG, (öffnet im neuen Fenster)

Domänenadministrator (m/w/d) Landratsamt Rems-Murr-Kreis, Waiblingen (öffnet im neuen Fenster)

Web Application Services Engineer (m/w/d) Deutsche Bundesbank, Düsseldorf (öffnet im neuen Fenster)

Prozessmanager Customer Data (w/m/d) ING Deutschland, Frankfurt am Main (öffnet im neuen Fenster)

Laut Entwickler betrifft der Fehler alle Empfänger, die im BCC-Feld eingetragen werden. Das Enigmail-Plugin ignoriert die Empfänger bei der Verschlüsselung ohne Fehlermeldung und verschickt die E-Mail unverschlüsselt an sie. Die E-Mail an den ursprünglichen Empfänger wird hingegen verschlüsselt, heißt es. Ebenfalls nicht betroffen sind E-Mails, deren Empfänger im CC-Feld eingetragen wurden.

Kritik gab es von Nutzern(öffnet im neuen Fenster) , die zunächst den gravierenden Fehler monierten, später aber auch die schleppende Reaktion der Entwickler kritisierten. Zunächst wurde der Fehler im Nightly Build von Version 1.8 korrigiert und erst später in der weit verbreiteten stabilen Version 1.7, die gleich zwei Updates erhielt. Zunächst gab es einen Eintrag vom 28. Juli 2014, in dem der Fehler bereits in Version 1.7.1 und 1.8 behoben worden sein soll. Offenbar war das nicht der Fall, denn erst mit Version 1.7.2 sei die Lücke in Enigmail geschlossen worden, so die offizielle Lesart(öffnet im neuen Fenster) .

Zur Startseite 16 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

Relevante Themen