Menü
Alert!
Security

Efail: Thunderbird mit Enigmail weiterhin anfällig

Ein Sicherheitsforscher hat Lücken in den Enigmail-Patches gefunden, die Efail verhindern sollen. Demnach verraten auch aktuelle Versionen von Enigmail und Thunderbird geheimen Klartext, wenn sie manipulierte PGP-Mails anzeigen.

Von
vorlesen Drucken Kommentare lesen 155 Beiträge
Efail: Thunderbird mit Enigmail weiterhin anfällig

(Bild: bogdandimages / Shutterstock.com)

Die Entwickler der PGP-Erweiterung Enigmail für Thunderbird hatten ihre Software bereits vor der Veröffentlichung von Efail nachgebessert und wiederholt betont, dass der Einsatz der aktuellen Version sicher sei. Jetzt hat jedoch der Sicherheitsforscher Hanno Böck eine einfache Methode entdeckt, die Workarounds zu umgehen. Angreifer könnten also nach wie vor PGP-Mails so manipulieren, dass Thunderbird/Enigmail beim Anzeigen deren Inhalt an einen externen Server schickt.

Warten auf das Thunderbird-Update

Auf eine Anfrage von heise Security hin bestätigte Engimail-Chefentwickler Patrick Brunschwig die Erkenntnisse von Böck. Der Angriff sei nicht mehr ganz so einfach, aber mit Hilfe des Nutzers sei eine Entschlüsselung des Nachrichtentextes möglich. "Es gibt aus meiner Sicht keinen Weg, das in Enigmail abzufangen", so Brunschwig. Dazu müsse auch er auf das nächste Thunderbird-Release warten.

Die von Böck demonstrierten Angriffe nutzen erneut HTML-Funktionen, um Daten zu versenden. Wer die Anzeige von HTML abschaltet, kann dies verhindern. Bei den Original-Efail-Exploits genügte es auch, die Darstellung unter "Ansicht/Nachrichteneinstellungen" auf "Vereinfachtes HTML" umzuschalten. Der Einschätzung von Enigmail-Entwickler Brunschwig zufolge sollte das auch Böcks Angriff verhindern. Man sollte dabei jedoch im Hinterkopf behalten, dass auch Efail-Angriffe denkbar sind, die kein HTML erfordern.

Die in Efail ebenfalls aufgezeigten S/MIME-Probleme lassen sich naturgemäß nicht in der PGP-Erweiterung Enigmail fixen. Auch dafür müssten die Thunderbrid-Entwickler Updates liefern. Hier verringern die oben aufgeführten, vorbeugenden Maßnahmen das Risiko ebenfalls deutlich. (Jürgen Schmidt, Fabian A. Scherschel) / (ju)