Masterpasswort lässt sich leicht überlisten

If you suddenly cannot receive any more emails

Please read the notes on the latest two most common causes of problems!

Please click here!

This red box disappears when you click on the X in the top right corner.

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.6.1
    • Betriebssystem + Version: Ubuntu Linux 18.04.2
    • Kontenart (POP / IMAP): IMAP

    Hallo,


    ich bin per Zufall auf eine kleine Sicherheitslücke in Thunderbird gestoßen:

    Ich habe Thunderbird mit einem "Masterpasswort" gesichert, welches beim Starten von Thunderbird abgefragt wird. Wenn ich Thunderbird über das Icon des Dock

    starten will, erscheint der Dialog zur Passworteingabe. Gebe ich kein Passwort ein und drücke mehrmals hintereinander auf "Abbrechen" öffnet sich Thunderbird trotzdem. Zusätzlich erscheint folgende Fehlermeldung als Dialog:


    [Exception... "User canceled master password entry" nsresult: "0x80004004 (NS_ERROR_ABORT)" location: "JS frame :: jar:file:///usr/lib/thunderbird/omni.ja!/components/crypto-SDR.js :: decrypt :: line 177" data: no]


    Diese Fehlermeldung lässt sich einfach schließen.


    Könnt ihr bitte mal schauen, ob ihr den Fehler reproduzieren könnt?


    Viele Grüße,


    Marut

  • graba

    Approved the thread.
  • Hallo Marut,


    und wie genau sieht nun die Sicherheitslücke aus? Das Masterpasswort schützt nur die gespeicherten Passwörter, nicht aber die lokal gespeicherten E-Mails und auch nicht das Programm Thunderbird an sich.


    MfG

    Drachen

    Ich weiß wirklich richtig viel - aber leider nur über erschreckend wenige der geradezu unzähligen Dinge und Themen, welche unsere Welt bewegen. :/

    Deswegen halte ich mich aus den allermeisten Themen raus :stumm:, schließlich bin ich ja kein Politiker 8)