Masterpasswort lässt sich leicht überlisten

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.6.1
    • Betriebssystem + Version: Ubuntu Linux 18.04.2
    • Kontenart (POP / IMAP): IMAP

    Hallo,


    ich bin per Zufall auf eine kleine Sicherheitslücke in Thunderbird gestoßen:

    Ich habe Thunderbird mit einem "Masterpasswort" gesichert, welches beim Starten von Thunderbird abgefragt wird. Wenn ich Thunderbird über das Icon des Dock

    starten will, erscheint der Dialog zur Passworteingabe. Gebe ich kein Passwort ein und drücke mehrmals hintereinander auf "Abbrechen" öffnet sich Thunderbird trotzdem. Zusätzlich erscheint folgende Fehlermeldung als Dialog:


    [Exception... "User canceled master password entry" nsresult: "0x80004004 (NS_ERROR_ABORT)" location: "JS frame :: jar:file:///usr/lib/thunderbird/omni.ja!/components/crypto-SDR.js :: decrypt :: line 177" data: no]


    Diese Fehlermeldung lässt sich einfach schließen.


    Könnt ihr bitte mal schauen, ob ihr den Fehler reproduzieren könnt?


    Viele Grüße,


    Marut

  • graba

    Approved the thread.
  • Hallo Marut,


    und wie genau sieht nun die Sicherheitslücke aus? Das Masterpasswort schützt nur die gespeicherten Passwörter, nicht aber die lokal gespeicherten E-Mails und auch nicht das Programm Thunderbird an sich.


    MfG

    Drachen