Sicherheitsaudit für Enigmail und Thunderbird: Posteo warnt vor Schwachstellen

Der E-Mail-Anbieter Posteo hat zusammen mit Mozilla eine Sicherheitsüberprüfung für den Mail-Client Thunderbird und das Verschlüsslungs-Plugin Enigmail initiiert. Die gestern veröffentlichten Ergebnisse mahnen zur Vorsicht: Während kritische Lücken in Enigmail bereits behoben wurden, hat Thunderbird noch einige Schwachstellen.

Ein kritischer Fehler hebelt unter Windows momentan die Verschlüsslung des Thunderbird-Plugins Enigmail aus. CC-BY 3.0 Mozilla

Zur Stärkung von Mozilla Thunderbird und Enigmail hat der E-Mail-Anbieter Posteo im Herbst zusammen mit Mozilla ein Sicherheitsaudit beauftragt. Die beiden Open-Source-Programme wurden von einem unabhängigen Expertenteam fast einen Monat lang auf Schwachstellen geprüft. Gestern hat Posteo im unternehmenseigenen Blog die Ergebnisse veröffentlicht.

22 Sicherheitslücken fanden die beauftragten Sicherheitsingenieure von Cure53. Drei davon wurden als “kritisch”, fünf als “hoch” eingestuft. Die Tester selbst mahnten zur Vorsicht:

Ein genauer Blick auf die Implementierungen von Thunderbird und Enigmail offenbarte eine weite Verbreitung von Design-Mängeln, Sicherheitsproblemen und Fehlern. (…) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen werden.

Während kritische Sicherheitslücken im OpenPGP-Verschlüsselungs-Plugin Enigmail dem Bericht zufolge mit der neusten Version schon geschlossen wurden, gehe in Thunderbird nach wie vor eine besondere Gefahr von der AddOn-Architektur selbst aus. Während diese bei Firefox mit Version 57 grundlegend umgebaut wurde, werden größere Mängel bei Thunderbird wohl noch auf absehbare Zeit bestehen bleiben. Auch vor der Nutzung von RSS-Feeds in Thunderbird wird gewarnt.

Empfehlungen von Posteo

Posteo zufolge ließe sich die Kommunikation allerdings schon deutlich sicherer gestalten, wenn man als Thunderbird- beziehungsweise Enigmail-Nutzer diesen Hinweisen folgt:

Für alle Thunderbird-Nutzer:

  • Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
  • Nutzen Sie Thunderbird möglichst ohne oder nur mit aktuell geprüften Add-ons/Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde. Aktuell kann das Verwenden kompromittierbarer Add-ons/Plugins die Vertraulichkeit Ihrer Kommunikation und anderer sensibler Daten auf Ihren Geräten gefährden.
  • Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer (Ende-zu-Ende-verschlüsselten) Kommunikation gefährden.
  • Achten Sie darauf, nicht versehentlich Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.
  • Für Enigmail-Nutzer:

  • Updaten Sie Enigmail umgehend auf die neue Version 1.9.9. Diese Version behebt alle im Audit gefundenen Schwachstellen.
  • Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
  • Installieren Sie zusätzlich zu Enigmail keine weiteren Add-ons oder Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde.
  • Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer Ende-zu-Ende-verschlüsselten Kommunikation gefährden.
  • Achten Sie darauf, nicht versehentlich weitere Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.
  • Während das Plugin Enigmail nach Überprüfung und Behebung der Schwachstellen nun als sicherer gelten könne, sollten Nutzer des Mail-Clients Thunderbird installierte Plugins genau prüfen und das Thema im Blick behalten. Die Sicherheitsexperten empfahlen einen weiteren Test für Thunderbird, wenn die Lücken geschlossen wurden.

    Offenlegung: Posteo spendet regelmäßig an netzpolitik.org, ohne dafür eine Gegenleistung zu erwarten.

    Deine Spende für digitale Freiheitsrechte

    Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

    13 Ergänzungen

    1. Bei restriktiven Einstellungen für den Thunderbird dürften die Lücken nicht ausnutzbar sein. Selbst für Hackerprofis nicht. Und nein, PGP ist nach wie vor nicht knackbar. Wobei ich niemanden kenne, der seine e-mails verschlüsselt. Das ist ein Sturm im Wasserglas, Thunderbird ist weitaus besser, als so ziemlich alle anderen mail clients. Das e-mail Protokoll an sich stammt aus einer früheren Zeit und es wird nie „sicher“ sein. Braucht es auch nicht. Was soll diese ganze Verschlüsselei, wenn es Leute gibt, die einen „Generalschlüssel“ haben? Der kann in der Hardware sitzen oder ganz einfach eine Hintertür im System sein, wobei es bei Systemen wie Apple oder die neueren Microsofts regelrecht albern anmutet, wenn man sowas verwendet. Selbst bei den meisten Linuxen ist man aufgeschmissen.

      1. stimmt, lass ma bleiben, HTTPS, Signal, PGP, Passwörter, Luks, macht alles kein sinn, kann man sich auch gleich sparen.

        Ne mal ehrlich, lasst euch nicht von solchen Leuten bequatschen, natürlich wird es 100% Sicherheit nie geben, aber trotzdem hilft es gegen verdammt viel. Und klar muss man abwägen, wieviel Sicherheit man will und wieviel Aufwand man dafür betreiben möchte.

      2. Wenn du nicht kämpfst, schenkst du deinem Feind den Sieg, und brauchst dich dann nicht drüber aufregen wenn das vermeintlich gute System welches dich handzahm erzogen hat, sich eines Tages gegen dich und dein vertrautes Umfeld stellt und nach deinem Wohlergehen und deiner Sicherheit trachtet.
        Jede Epoche hat ihre eigenen Dämonen die es zu erkennen und konsequent zu bekämpfen gilt. Für unser eigen Wohl und das unserer geliebten Nachkommen.

        Frohe und besinnliche Weihnachten uns allen.

    2. Siehe weiter Infos zu „Enigmail – Schwachstellen“ unter:
      TBE-01-021
      TBE-01-005
      TBE-01-003
      TBE-01-002
      TBE-01-001

      Beseitigung der „Enigmail – Schwachstellen“ unter den URLs:

      Patch – Enigmail ChangeLog Version 1.9.9
      https://www.enigmail.net/index.php/en/download/changelog#enig1.9.9

      Patch – Enigmail Download-Seite Binärdatei
      https://www.enigmail.net/index.php/en/download/download-enigmail

      Patch – Enigmail Download-Seite Quellcode
      https://www.enigmail.net/index.php/en/download/source-code

      Patch – Fedora Security Update FEDORA-2017-54288fb74e (Fedora 27, thunderbird-enigmail-1.9.9-1.fc27)
      https://bodhi.fedoraproject.org/updates/FEDORA-2017-54288fb74e

      Patch – Fedora Security Update FEDORA-2017-856a149a4c (Fedora 26, thunderbird-enigmail-1.9.9-1.fc26)
      https://bodhi.fedoraproject.org/updates/FEDORA-2017-856a149a4c

      Patch – Fedora Security Update FEDORA-EPEL-2017-c3fbd2a463 (Fedora EPEL 7, thunderbird-enigmail-1.9.9-1.el7)
      https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-c3fbd2a463

      Patch – Thunderbird Release Notes Version 52.5.2
      https://www.mozilla.org/en-US/thunderbird/52.5.2/releasenotes

    3. De Maiziere, der Herr Der Dinge!

      http://www.dw.com/de/bundestag-winkt-weitreichendes-%C3%BCberwachungsgesetz-durch/a-39363027

      Drei Dinge den Richtern hoch im Licht,
      Sieben den Parlamentariern in ihren Hallen,
      Den Bürgerlichen, ewig den Überraschungen/Täuschungen verfallen, neun.
      Einer dem dunklen Herrn auf dunklem Thron
      Im Innenministerium, wo die Schatten (verdeckten Ermittler) drohn.
      Einen Ding, sie zu knechten, sie alle zu finden,
      Ins Dunkel zu treiben und ewig zu binden
      Im Innenministerium, wo die Schatten (verdeckten Ermittler) drohn.

    4. Ich liebe Posteo und die Leute, die dahinter stecken!! … Und jetzt wo ich den Original-Beitrag auf der posteo-Seite gelesen habe, weiß ich auch wieder warum… Zitat: „Finanziert wurde das Audit zu gleichen Teilen von Posteo und dem Mozilla SOS Fund….“ Wow, welches Unternehmen setzt sich heutzutage noch so für die Sicherheit und Privatsphäre seiner Nutzer ein?

      Nur zur Erinnerung:
      Posteo waren die ersten die einen Transparenz-Bericht ( https://posteo.de/site/transparenzbericht_2014 ) und meines Wissens auch der einzige Anbieter weltweit der absolut anonymisierte Zahlung akzeptiert ( https://posteo.de/site/datenschutz#zahlung ).

      Ohne Posteo (und ohne Netzpolitik.org) wäre ich was meinem Datenschutz im Internet angeht schon längst verzweifelt und hätte schon längst aufgegeben…

      Danke Euch!

      Frohe Weihnachten & ein erfolgreiches Jahr 2018!

      1. ok es gibt auch z.B. noch http://www.protonmail.ch, wo man völlig anonym und kostenfrei ein automatisch verschlüsseltes Mailpostfach auf ausschließlich Schweizer Servern eröffnen kann. Kostenfrei allerdings nur bis 500MB und leider noch ohne POP3/Imap, aber mit gut funktionierender App für iOS/Android….

        Nein, ich verdien da nix dran wenn ich diesen Hinweis hier hinterlass, ich nutz ein o.g. Postfach nur selber und bin sehr zufrieden damit.

    5. Jede und jeder, der ein iPhone oder ein androidgeraet hat, trägt den verfassungsgebenden in der hosentsche mit sich. Dass Diesel Tatsache nicht zu täglichen Protesten, Demonstrationen, ja zu allerersten zu staatlichem handeln führt, das ist der eigentliche Skandal. Microsoft, Apple und am schlimmsten Google sind die Totengräber unserer noch Demokratie.

      1. na da bin ich mal froh, dass auf meinem alten iPhone 4 noch keine Facebookapp zwangsweise vorinstalliert ist. Die macht Smartphones doch erst recht zu tragbaren Wanzen… Nöö danke!

    6. Jede und jeder, der ein iPhone oder ein androidgeraet hat, trägt den verfassungsfeind in der hosentasche mit sich. Dass Diese Tatsache nicht zu täglichen Protesten, Demonstrationen, ja zu allererst zu staatlichem handeln führt, das ist der eigentliche Skandal. Microsoft, Apple und am schlimmsten Google sind die Totengräber unserer noch-Demokratie.

    7. Die Zusammenarbeit der beiden Anbieter ist ein wunderbares Beispiel dafür, dass es sich bei Mozilla und Posteo um Unternehmen handelt, welche Sicherheitslücken transparent aufzeigen, anstatt diese wie die meisten anderen Anbieter zu beschönigen oder gänzlich zu verschweigen.
      Ich hoffe sehr, dass das Bedürfnis nach Thunderbird, Firefox, Posteo und co. in der Bevölkerung wächst, damit ein solches Verhalten sich auch für andere Unternehmen als lohnenswert erweißt.

    Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.