Einen potenziell gefährlichen Fehler wiesen einige Versionen des Thunderbird-AddOns "Enigmail" auf. Das Plugin dient dazu, E-Mails mit Hilfe von PGP zu verschlüsseln. Dies geschah jedoch zeitweise nicht zuverlässig: ab mindestens Version 1.7.0 von Enigmail wurden E-Mails an BCC-Empfänger (also solche Empfänger, die in der Liste der Empfänger nicht auftauchen) unter Umständen unverschlüsselt verschickt. Der Fehler trat offenbar immer dann auf, wenn eine E-Mail ausschließlich an BCC-Empfänger versendet wurde. Wurden auch die Felder "To" und/oder "CC" verwendet, wurden die E-Mails korrekt verschlüsselt.
Die Schwachstelle wurde im Juli entdeckt. In der mittlerweile verteilten Version 1.7.2 tritt das Problem nicht mehr auf. Wer also noch eine ältere Enigmail-Version verwendet, sollte diese dringend aktualisieren. Einige Nutzer kritisieren die Entwickler allerdings für die ihrer Ansicht nach zu langsame Reaktion auf das Problem; in Support-Foren hagelte es Kritik. Zudem, so betonen einige Betroffene, hätte Enigmail zumindest, wenn die Option "zwingend verschlüsseln" gewählt war, eine Warnmeldung ausgeben müssen. Dies geschah nicht; auf die Verschlüsselung der E-Mails wurde verzichtet, ohne dass dies für den Benutzer ersichtlich gewesen wäre. Es ist anzunehmen, dass auf die Entwickler eine gründliche Ursachenforschung zukommt und sie Strategien entwickeln müssen, um dergleichen zukünftig zu vermeiden.
Verschlüsselung, auch und gerade von E-Mails, gewann im Bewusstsein vieler Menschen mit den Snowden-Enthüllungen zunehmend an Bedeutung. Enigmail, das es in Versionen für alle gängigen Desktop-Betriebssysteme gibt, war dabei eines der populärsten Tools. Gerade deswegen dürfte der aktuelle Vorfall viele Menschen schockiert und verärgert haben.
Quelle: Heise
Die Schwachstelle wurde im Juli entdeckt. In der mittlerweile verteilten Version 1.7.2 tritt das Problem nicht mehr auf. Wer also noch eine ältere Enigmail-Version verwendet, sollte diese dringend aktualisieren. Einige Nutzer kritisieren die Entwickler allerdings für die ihrer Ansicht nach zu langsame Reaktion auf das Problem; in Support-Foren hagelte es Kritik. Zudem, so betonen einige Betroffene, hätte Enigmail zumindest, wenn die Option "zwingend verschlüsseln" gewählt war, eine Warnmeldung ausgeben müssen. Dies geschah nicht; auf die Verschlüsselung der E-Mails wurde verzichtet, ohne dass dies für den Benutzer ersichtlich gewesen wäre. Es ist anzunehmen, dass auf die Entwickler eine gründliche Ursachenforschung zukommt und sie Strategien entwickeln müssen, um dergleichen zukünftig zu vermeiden.
Verschlüsselung, auch und gerade von E-Mails, gewann im Bewusstsein vieler Menschen mit den Snowden-Enthüllungen zunehmend an Bedeutung. Enigmail, das es in Versionen für alle gängigen Desktop-Betriebssysteme gibt, war dabei eines der populärsten Tools. Gerade deswegen dürfte der aktuelle Vorfall viele Menschen schockiert und verärgert haben.
Quelle: Heise