Thunderbird 78.8.1~78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた 20
ストーリー by nagazou
これは 部門より
これは 部門より
headless 曰く、
Thunderbird 78.8.1~78.10.1では、インポートしたOpenPGP秘密鍵を暗号化せずにローカルディスクに保存するという脆弱性(CVE-2021-29956)があったそうだ(Bug 1710290、 The Registerの記事、 Mozilla Foundation Security Advisory 2021-22)。
この脆弱性によりインポートされた鍵がマスターパスワードで保護されないため、マスターパスワードを入力しなくてもメッセージが復号されると4月からメーリングリストで報告されていた。
脆弱性を追加し、修正したThunderbirdメインテナーのKai Engert氏がThe Registerに語ったところによれば、元はインポート時にローカルディスクへ保存してから暗号化していたものを、暗号化してから保存するよう変更してしまったのが原因だという。Engert氏とレビューアーは暗号化された状態で鍵が保存されると思い込んでいたが、実際にはそうではなかったとのこと。Engert氏はRNPソフトウェアのエラーにより暗号化が保存時に反映されないと説明しているそうだ。
この脆弱性はThunderbird 78.10.2で修正されており、暗号化なしで保存された鍵が見つかったら暗号化するとのことだ。