QQ企业邮箱，Thunderbird邮件客户端迎来78.10.2更新：堵上伪造发件人漏洞

Thunderbird邮件客户端迎来78.10.2更新：堵上伪造发件人倾向  邮箱网    1812次浏览  2021年05月28日 星期五 09:55 邮箱网讯 5月28日新闻 以前多少个月，Mozilla 旗下清静电子邮件客户端“雷鸟”（Thunderbird）被曝用纯文本格式保存了一些用户的 OpenPGP 密钥。该倾向的追踪代号为 CVE-2021-29956，影响从 78.8.1 ~ 78.10.1 之间的软件版本。尽管严副品级较低，但开拓者仍是自动在新版中实施了修复，同时为 Thunderbird 所运用的加密密钥削减了格外的呵护。 多少周前，Mozilla E2EE 邮件列表中的用户发现，他们可在无需输入主明码的情景下，直接魔好受 OpenPGP 加密呵护的电子邮件。而凭证个别的功能逻辑，魔难前是必需先妨碍用户身份验证的。 受该缺陷影响，当地侵略者将可经由魔难以及复制这些 OpenPGP 密钥来伪造发件人，并偏远地向其分割人发送不为用户所知的电子邮件。 在*新的清静通告中，Mozilla 提供了无关 CVE-2021-29956 倾向的细节，以及他们是若何在 Thunderbird 78.10.2 版本中修复该倾向的。 运用 78.8.1 ~ 78.10.1 版本的 Thunderbird 邮件客户真个用户，其 OpenPGP 密钥未能经由加密存储的方式留在当地磁盘上，并导致主明码呵护功能失效。不外在 78.10.2 版本中，Thunderbird 已经复原了新导入密钥的呵护机制，并将自动呵护从受影响的旧版本上导入的 OpenPGP 密钥。 Mozilla Thunderbird 名目团队软件开拓者 Kai Engert 在接受 The Register 采访时给出了相关批注： 一旦用户配置装备部署了主明码，那在 Firefox / Thunderbird 初次存储任何怪异内容时，零星都将揭示用户输入明码。若输入精确，则响应的密钥将在会话时期坚持被记住息争锁的形态，而且可凭证需要来解锁任何受呵护的加密内容。 不外如今，Thunderbird 电子邮件客户端已经由了重新编写。为防止呵护 OpenPGP 密钥，Mozilla 建议巨匠赶快将 Thunderbird 升级到*新的 78.10.2 版本。 下载地址：https://www.thunderbird.net/en-US/download/ 标签:邮件客户端Thunderbird