Thunderbird-update beschermt gebruikers tegen EFAIL-aanval
Mozilla heeft een nieuwe versie van Thunderbird uitgebracht om gebruikers tegen de EFAIL-aanval te beschermen. Via deze aanval, die afgelopen maandag werd geopenbaard, is het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen.
Hiervoor moet een aanvaller over een versleutelde e-mail van het slachtoffer beschikken en moet de e-mailclient van het slachtoffer HTML-code / remote content uitvoeren. De kwetsbaarheden die voor de aanval worden gebruikt waren gevonden door onderzoekers van de Universiteit van Münster, Ruhr-Universität Bochum en NXP Semiconductors.
Thunderbird 52.8 verhelpt in totaal dertien kwetsbaarheden, waaronder twee EFAIL-lekken die de onderzoekers ontdekten. De eerste kwetsbaarheid maakt het mogelijk om via remote content in een versleuteld bericht de onversleutelde inhoud te achterhalen. Het tweede lek betreft de mogelijkheid om via het src-attribuut de inhoud van versleutelde berichten te achterhalen.
Eerder deze week liet Mozilla al weten dat gebruikers tot het verschijnen van Thunderbird 52.8 en 52.8.1 remote content moeten uitschakelen (iets wat de standaardinstelling is) en de optie "allow now" voor het laden van remote content in versleutelde e-mails niet moeten toestaan. Updaten naar Thunderbird 52.8 kan via de e-mailclient en Thunderbird.net.
https://sourceforge.net/p/enigmail/forum/support/thread/03ebee57/
Maar er is helemaal geen aanval. En is alleen een gaatje ontdekt, met een kans van ongeveer nul dat iemand anders dat ook weet en daar 'succesvol' gebruik van gaat maken.
Overigens nog steeds een kwestie van remote content uitschakelen, plus plaintext of SimpleHTML gebruiken. Wat toch altijd al aan te raden was en default was.
Stable Tb 60 wordt begin juni verwacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.