Thunderbird 78.8.1~78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた 20
ストーリー by nagazou
これは 部門より
これは 部門より
headless 曰く、
Thunderbird 78.8.1~78.10.1では、インポートしたOpenPGP秘密鍵を暗号化せずにローカルディスクに保存するという脆弱性(CVE-2021-29956)があったそうだ(Bug 1710290、 The Registerの記事、 Mozilla Foundation Security Advisory 2021-22)。
この脆弱性によりインポートされた鍵がマスターパスワードで保護されないため、マスターパスワードを入力しなくてもメッセージが復号されると4月からメーリングリストで報告されていた。
脆弱性を追加し、修正したThunderbirdメインテナーのKai Engert氏がThe Registerに語ったところによれば、元はインポート時にローカルディスクへ保存してから暗号化していたものを、暗号化してから保存するよう変更してしまったのが原因だという。Engert氏とレビューアーは暗号化された状態で鍵が保存されると思い込んでいたが、実際にはそうではなかったとのこと。Engert氏はRNPソフトウェアのエラーにより暗号化が保存時に反映されないと説明しているそうだ。
この脆弱性はThunderbird 78.10.2で修正されており、暗号化なしで保存された鍵が見つかったら暗号化するとのことだ。
気にする人は (スコア:0)
HDD暗号化してそう
まあ、他のプログラムから読まれる恐れはあるけど
Re: (スコア:0)
PGP発行してThunderbird使用なヤツがそもそもほとんど居ないとか
タレコミとの違いがわからない (スコア:0)
全部同じ
一文字たりとも変えないことあるんだ
邪悪なM$の製品は危険(笑) (スコア:0)
OSSなら安心(爆笑)
Re: (スコア:0)
大切なものを、信頼(笑)のみで他人に預けるとか
危機管理がなってないよなw
Re: (スコア:0)
メーラーくらい自分で作れないならEメール使わない方がいいと思うわ
Re: (スコア:0)
邪悪なM$のOSSなら安心(爆笑)
それは脆弱性ではない (スコア:0)
設計と違うのだから欠陥だろ
Re: (スコア:0)
欠陥だろうが脆弱性があることには変わらない
Re: (スコア:0)
なぜか欠陥(バグ)と仕様と脆弱性が排他だと思い込んでる人間が一定数いるよな
まあ確かに一昔前なら脆弱性とは呼ばないようなバグかもしれないが、CVEが発行されている以上は脆弱性に繋がるセキュリティバグだよ
Re: (スコア:0)
欠陥と脆弱性とでは瑕疵担保責任の考えが全く違う。
これらを同列に扱うようでは社会的責任を果たすことは到底無理というもの。
Re: (スコア:0)
おじいちゃん、今は民法改正されて瑕疵担保責任って言わないんですよ。
Re: (スコア:0)
契約不適合責任だろ。周知度が低いから改正前の表現を使ったまで。ただ瑕疵にたいして本質的意味は変わっていない。
反論できなくなると言葉尻を取ろうとする典型的なアレだな。
Re: (スコア:0)
いきなり瑕疵担保責任とか言い出して一体どうした?
それ、どこの弁護士が言ってるの?
まさかオレオレ理論?
Re: (スコア:0)
法律や判例くらい勉強しましょうね
Re: (スコア:0)
やっぱりオレオレ理論だから判例ひとつ出せないんですね。デマ乙
Re: (スコア:0)
これは欠陥と脆弱性を同列に扱おうとしている #4040566 への批判のつもりだったんだろうか?
#4040754 の援護射撃をしようとして墓穴掘り掛かってるように見える。
確かに #4040566 の言う事はおかしいと思う。
しかし、瑕疵担保責任の観点からそれを批判するのは無理筋だと思う。
バグもセキュリティバグも等しく瑕疵とみなして区別しないだろうから。
Re: (スコア:0)
仕様の脆弱性もあれば、実装の脆弱性もあるし、運用の脆弱性もある。
開発におけるどのレイヤで発生したかに関わらず、脆弱性は脆弱性だろ。
その挙動が仕様通りか否かの話ではどのレイヤで起きたかは重要だけども、
たとえ仕様であっても脆弱ならそれは脆弱性。
で、いつ保存するんだい (スコア:0)
元はインポート時にローカルディスクへ保存してから暗号化していたものを、暗号化してから保存するよう変更してしまったのが原因だという。
本文はこの訳でおかしいと思わなかったの?
マスターパスワード管理下の話 (スコア:0)
普通ならせいぜい難読化止まりよなぁと思ってたが
そういやマスターパスワードで管理してるなら真面目に暗号化も出来たなそういえば。
Mozilla周りは、Androidのfirefoxでマスターパスワード設定してたら
記録済みパスワードを全部抹消するアプデを正式リリースしちゃう位だから、
マスターパスワードなんてあるにはあるけど誰もメンテしないトマソンみたいな扱いなのかと思ってたよ。
まぁ後からこんな話になる程度には扱いの悪い機能ではあったということなのだろうけど。