Der E-Mail-Client Thunderbird 78 erschien vor zwei Wochen und brachte Neuerungen bei Verschlüsselung und Erweiterungen. Rund eine Woche später schoben die Entwickler mit 78.0.1 eine Version nach, die 11 kleinere Fehler behob und neue Funktionen in Sachen Schlüssel-Handling einführte.
10 Sicherheitslücken geschlossen
Jetzt erscheint schneller als erwartet Thunderbird 78.1, der zehn Sicherheitslücken schließt, von denen fünf die Sicherheitseinstufung high tragen, wie in Mozillas Security Advisory 2020-33 nachzulesen ist.
Die Lücken betreffen darüber hinaus auch Firefox, Firefox ESR und Tor Browser und sind in Firefox 79 und Firefox ESR 78.1 sowie 68.11 behoben. Tor Browser 9.5.3 behebt die Probleme ebenfalls.
Ausführung von Schadcode möglich
Mehrere der Lücken konnten Angreifern die Ausführung beliebigen Programmcodes mit nicht privilegierten Benutzerrechten ermöglichen. Im Advisory steht dazu: »Im Allgemeinen können diese Fehler im Thunderbird-Produkt nicht über E-Mail ausgenutzt werden, da die Skripterstellung beim Lesen von E-Mails deaktiviert ist, aber sie stellen im Browser oder browserähnlichen Kontext ein potenzielles Risiko dar.«
Am gefährlichsten wurde dabei die Lücke mit der Katalognummer CVE-2020-15659 eingeschätzt, die Speicherfehler auslösen kann. Dies kann zwar durch Adress-Verwürfelung per Address Space Layout Randomization (ASLR) erschwert, aber nicht ganz verhindert werden, da CVE-2020-6514 ASLR aushebeln kann.
Warten auf Thunderbird 78.2
Anwender, die Verschlüsselung in Thunderbird verwenden, sind aber sowieso angehalten, bei Version 68.10.0 zu verharren, bis Thunderbird 78.2 die Integration von Enigmail abschließt. Auch Anwender von Erweiterungen sollten vorher sicherstellen, dass ihre Erweiterungen bereits auf den neuen Standard der WebExtensions umgestellt sind.
Erst vor wenigen Tagen erschien mit Thunderbird 78 eine neue Version des beliebten E-Mail-Clients, die viele Änderungen mit sich brachte. Jetzt wird mit Thunderbird 78.0.1 ein Bugfix-Release nachgeschoben.
Die neue Version behebt 11 Fehler und bringt drei neue Funktionen, was für ein Bugfix-Release eher ungewöhnlich ist. Das zeigt, dass Thunderbird frühestens mit Version 78.2 als stabil zu betrachten ist.
Vorsicht beim Einsatz
Das hatten die Entwickler auch angekündigt und den üblichen automatischen Update-Mechanismus bis dahin ausgesetzt. Vor allem Anwender der Verschlüsselung über das Add-on Enigmail sollten Vorsicht walten lassen und noch nicht auf die neue Verion umsteigen. So ist auch Thunderbird 78.0.1 nur über die Webseite des Projekts zu beziehen.
11 kleinere Fehler behoben
Zu den behobenen Fehlern zählt unter anderem, dass ins CC gesetzte Empfänger manchmal nicht sichtbar waren. Bei OpenPGP-Nachrichten wurde Text, der nicht UTF-8 entsprach, nicht unterstützt. zudem wurde die Oberfläche leicht angepasst.
Schlüssel-Handling verbessert
Die neuen Funktionen beziehen sich allesamt auf OpenPGP, die nun fest eingebaute Verschlüsselungsmethode, die das bisherige Add-on Enigma ersetzt. Hier können Schlüssel nun widerrufen, das Ablaufdatum verlängert und ein Backup der Schlüssel angelegt werden.
Noch mehr Baustellen
Es ist in nächster Zeit mit weiteren Aktualisierungen zu rechnen, die noch unfertige Funktionen fertigstellen. So ist nicht nur OpenPGP noch nicht bereit für den produktiven Einsatz, auch die mit Thunderbird 78 eingeführte Unterstützung für CalDAV und CardDAV ist noch nicht fertig.
Zudem entsprechen viele Erweiterungen noch nicht dem neuen Standard der WebExtensions, der bei Firefox bereits für Unmut unter den Anwendern sorgte. Wer mehr über den technischen Stand der Neuerungen bei Thunderbird 78 erfahren möchte, kann sich ein YouTube anschauen, dass ein Leser freundlicherweise in den Kommentaren zu der News zu Thunderbird 78 verlinkt hat. Weitere Informationen zum Update hält die Ankündigung bereit.
Der beliebte E-Mail-Client Thunderbird macht in diesen Tagen einen großen Versionssprung von 68 auf 78. Doch nicht nur dort, sondern auch bei der Funktionalität macht Thunderbird einen Riesenschritt. Noch ist er nicht offiziell freigegeben, kann jedoch bereits von Mozillas FTP-Server bezogen werden.
Wechselvolle Geschichte
Der E-Mail-Client Thunderbird hat eine wechselvolle Geschichte hinter sich. Als Mozillas ungeliebtes Kind wurde er hin und hergeschoben. Über lange Zeit wurde er lediglich am Leben erhalten, nachdem Mozilla die Weiterentwicklung eingestellt hatte, weil die Anwendung angeblich ausentwickelt sei. Dass dem nicht so ist, zeigen die Neuerungen der Version 78, die sich bereits seit einem Jahr abzeichnen.
In den letzten Jahren stellte Mozilla lediglich noch die Infrastruktur für den Donnervogel. Doch damit ist seit Jahresbeginn auch Schluss, denn das Thunderbird-Projekt wird künftig von einer neuen hundertprozentigen Tochtergesellschaft der Mozilla Foundation, der MZLA Technologies Corporation, betrieben, wie im Thunderbird-Blog zu lesen war.
Enigmail und Lightning integriert
Die beiden Highlights von Thunderbird 78 sind neben einem Dark-Mode die Integration des Kalenders und der Verschlüsselung direkt in die Anwendung. Dadurch spart der Anwender mit Lightning und Enigmail gleich zwei essenzielle Erweiterungen. Gerade bei dem Verschlüsselungs-Add-on Enigmail gab es in der Vergangenheit immer mal Versionsprobleme. Der Entwickler von Enigmail half bei der Umsetzung der integrierten Verschlüsselung unter Verwendung von OpenPGP.
Vorsicht beim Update
Da mit der neuen Version eine Menge an Veränderung einhergeht, werden automatische Updates frühestens mit Thunderbird 78.2 aktiviert. Bis dahin raten die Entwickler auch davon ab, OpenPGP manuell zu aktivieren. Wer mit dem Update noch länger warten möchte, kann in den Einstellungen die automatische Aktualisierung deaktivieren. Die bestehenden Schlüssel und weitere Daten sollen per Enigmail Migrator übernommen werden.
WebExtensions für Add-ons
Bei den Erweiterungen folgt Thunderbird in die Fußstapfen von Firefox und erlaubt nur noch Erweiterungen, die mit den neuen Standard WebExtensions kompatibel sind. Auch hier sollten Anwender, die auf Add-ons angewiesen sind, zunächst testen, ob diese bereits korrekt arbeiten.
Weitere kleine Neuerungen betreffen den Chat, der jetzt verschlüsselte Kommunikation erlaubt und das Matrix-Protokoll integriert. Ich konnte dafür aber noch keine Anzeichen erkennen. Der neue Thunderbird zieht sich nun beim Minimieren endlich in das System-Tray zurück.
Edit13:40 Mittlerweile ist Thunderbird offiziell freigegeben und die Release Notes sind verfügbar.
Der beliebte E-Mail-Client Thunderbird soll 2020 eine neue Heimat, mehr Entwickler und eine verbesserte Nutzerschnittstelle erhalten. Das geht aus Nachrichten der letzten Tage hervor.
Umzug ins eigene Haus
Im Verlauf der letzten Woche wurde auf dem Blog des Projekts mitgeteilt, dass Thunderbird nun endgültig das Dach der Mozilla Foundation verlassen und in einer hundertprozentigen Tochtergesellschaft der Mozilla Foundation, der MZLA Technologies Corporation, weiterentwickelt wird.
Über Jahre abgewickelt
Thunderbird war in den letzten acht Jahren das ungeliebte Stiefkind der Mozilla Foundation, nachdem die Vorstandsvorsitzende Mitchell Baker geäußert hatte, Thunderbird sei ausentwickelt. Die Foundation wollte sich auf Firefox konzentrieren, stellte aber weiterhin die logistische und juristische Basis für das Projekt. Die Entwicklung wurde daraufhin von der Community übernommen.
Durch vermehrtes Spendenaufkommen konnten in den letzten Jahren insgesamt zehn Vollzeitkräfte beschäftigt werden, weitere sollen jetzt folgen. Somit stand Thunderbird entwicklungstechnisch bereits auf eigenen Beinen. Die jetzige Ausgliederung kappt nun auch die logistischen und juristischen Bande.
Auf eigenen Füßen
Damit verbinden die Entwickler die Hoffnung, den Nutzern weitere Produkte und Dienstleistungen anzubieten, die unter der Mozilla Foundation so nicht möglich waren. Es sollen Einnahmen durch Partnerschaften und aus weiteren Spendenquellen erzielt werden, die zur Deckung der Kosten für neue Produkte und Dienstleistungen verwendet werden können. Als Steuerungsinstanz des Open-Source-Projekts dient weiterhin das Thunderbird Council. Details über die Planung neue Dienste und Produkte sollen in den nächsten Monaten folgen.
Vortrag erläutert Pläne
Nähere Informationen zur Entwicklung von Thunderbird selbst gab es am Wochenende auf der Entwicklerkonferenz FOSDEM, wo Thunderbird-Community-Manager Ryan Sipes in einem Vortrag über die nähere Zukunft des E-Mail-Clients sprach. Leider habe ich es in diesem Jahr nicht zur Konferenz geschafft, aber Linux-Kollege Sebastian Grüner hat den Vortrag auf Golem zusammengefasst.
Demnach nutzen täglich mindestens 10 Millionen Menschen den Donnervogel zur Bewältigung ihres E-Mail-Verkehrs. Einige Pläne zur Verbesserung der auch in den Augen von Sipes mit Schwächen behafteten Anwendung bestehen bereits seit der Planung für 2019.
Tiefgreifende Änderungen
Demnach soll Thunderbird eine Multi-Prozess-Architektur analog zu Firefox erhalten und die Verschlüsselung soll fester Bestandteil der Software werden. Die Anwendung dieser wichtigen Funktion soll so vereinfacht werden, dass Anwender ihre Mails leichter signieren und verschlüsseln können. Der Kalender soll auf JavaScript umgestellt und das Adressbuch neu geschrieben werden.
Die mit Thunderbird 68 eingeleitete Umstellung des Add-on-Systems von dem veralteten XUL auf die auch bei Firefox verwendeten WebExtensions soll mit Thunderbird 78 im Juni 2020 abgeschlossen sein.
Neuer Look
Darüber hinaus soll Thunderbirds Erscheinungsbild neu gestaltet werden. Mockups dazu will Sipes demnächst online stellen. Weitere Pläne sehen eine intelligentere Bearbeitung von Mails ebenso vor wie interaktive HTML-Widgets und ein Modul, dass ähnlich dem von KDEs Reiseplaner Itinerary arbeitet. Diese und andere Pläne für Thunderbird 78 und darüber hinaus sind der Roadmap des Projekts entnehmbar.
Große Pläne…
Das sind große Pläne, es bleibt abzuwarten, wie lange die Umsetzung dauern wird. Kritik gab es letzte Woche bereits an den geplanten, aber noch nicht näher definierten Dienstleistungen, wobei Parallelen zum ungeliebten Firefox Pocket gezogen wurden.
Vom bis gestern aktuellen Thunderbird 60 zum jetzt erschienenen Thunderbird 68 ist es ein großer Versionssprung. Aber die Entwickler des beliebten Mail-Clients haben auch genügend Neues und Verbessertes eingebaut, um das zu rechtfertigen. Thunderbird versucht, sich mit zusätzlicher Funktionalität gegen die allgegenwärtigen Webmailer zu behaupten. Von den großen Baustellen, die die Entwickler in diesem Jahr angehen wollen, ist allerdings noch keine umgesetzt worden.
WebExtensions sind Pflicht
Die Liste der Neuerungen und Änderungen sowie der bereinigten Fehler ist diesmal länger als gewöhnlich. Die wichtigste und zugleich vermutlich kritischste Änderung betrifft die Erweiterungen. Mit Version 68 unterstützt Thunderbird, wie Firefox schon seit längerem, nur noch das neue Format WebExtensions. Das bedeutet, dass noch nicht umgestellte Erweiterungen nicht mehr funktionieren. Das gilt gleichermaßen auch für Themes und Wörterbücher.
Dateianhänge leichter versenden
Verbesserungen bietet Thunderbird 68 auch beim Versenden von Anhängen. Bereits im Vorgänger war WeTransfer integriert, um große Dateianhänge zu versenden. Dies funktioniert nun dank der neuen FileLink WebExtension-API auch wieder per Dropbox und weiteren ähnlichen Diensten. Damit das klappt, muss lediglich die jeweilige Erweiterung installiert werden. Zusätzlich können kürzlich verwendete Anhänge nun aus einem Pulldown-Menü ausgewählt werden.
Als gelesen markieren erleichtert
Ordner können nun leichter als gelesen markiert werden. So können etwa alle Ordner eines Accounts mit einem Klick mit diesem Attribut versehen werden. Filter lassen sich zeitgesteuert automatisch ausführen. Zudem wurde die Filterprotokollierung verbessert. TCP Keepalive funktioniert jetzt auch für das IMAP-Protokoll. Im Chat kann nun für jede Unterhaltung eine individuelle Rechtschreibprüfung ausgewählt werden. Viele weitere Änderungen können den Release Notes entnommen werden.
Keine Updates verfügbar
Thunderbird 68.0 wird laut Mozilla nur als direkter Download von thunderbird.net angeboten und nicht als Upgrade von Thunderbird Version 60 oder früher. Eine zukünftige Version 68.1 wird Updates von früheren Versionen bereitstellen. Wenn Lightning, das Kalender-Add-on von Thunderbird, installiert ist, wird es automatisch an die neue Version von Thunderbird angepasst.
Die Mozilla Foundation klärt in ihrem Blog über die Pläne für dem Mail-Client Thunderbird für das neue Jahr auf. Demnach soll zum Jahresbeginn die Zahl der voll beschäftigten Mitarbeiter von 8 auf 14 erhöht werden. Weiterhin steht, analog zu Firefox, die Umstellung auf eine Multi-Prozess-Architektur auf dem Plan.
Spendenaufkommen gestiegen
Die Aufstockung der festen Mitarbeiter um gleich sechs Köpfe wird durch das gestiegene Spendenaufkommen ermöglicht, wobei Individualspenden den Löwenanteil ausmachen. Die neuen Mitarbeiter werden überwiegend an der Codebasis arbeiten. Jeweils einer der Neuankömmlinge wird sich aber speziell um das Oberflächendesign und um den Schutz der Privatsphäre der Anwender kümmern.
Multi-Prozess-Architektur
Durch die Arbeit an der Umstellung auf eine Multi-Prozess-Architektur versprechen sich die Entwickler eine verbesserte Performance des beliebten Mail-Clients. Dazu müssen Teile der Codebasis neu geschrieben werden. Darüber hinaus soll an mehreren Stellen die Integration verbessert werden. Das soll unter anderem Google Mail betreffen. So sollen GMail-Label sowie weitere spezielle Features von GMail in Thunderbird unterstützt werden.
Auch das Benachrichtigungssystem soll aufgewertet werden, indem die Integration mit dem System des jeweiligen Betriebssystems verbessert wird. Dadurch soll der Anwender ein natürlicheres Erlebnis erfahren, gleichzeitig wird die Handhabung seitens Thunderbird vereinfacht.
Verschlüsselung vereinfachen
Die Benutzerschnittstelle in Sachen Verschlüsselung soll 2019 ebenfalls überholt werden. Damit soll eine dringend benötigte Vereinfachung herbeigeführt werden, die mehr Anwender befähigt, E-Mails auf einfache Art zu unterschreiben oder zu verschlüsseln. Auch die Einstellungsdialoge sollen vereinfacht und besser überschaubar werden.
Viel zu tun
Das wird vermutlich nicht alles in einem Jahr zu schaffen sein, jedoch soll gleich zu Jahresbeginn mit der Umsetzung an allen Brennpunkten begonnen werden. Derzeit aktuell ist der im August 2018 veröffentlichte Thunderbird 60. Da sich Thunderbird für seine Veröffentlichungen locker an Firefox ESR anlehnt, steht das nächste Release in Form von Thunderbird 68 im Juli 2019 an. Wer Thunderbird finanziell unterstützen möchte, kann dies auf der Spenden-Webseite von Mozilla tun.
Der beliebte E-Mail-Client Thunderbird hat eine Aktualisierung auf Version 60 erhalten, die viele wichtige Änderungen mit sich bringt. Die wichtigste dieser Änderungen betrifft Erweiterungen und Themes, die künftig die WebExtensions-APIs unterstützen müssen. Das bedeutet, dass nun auch bei Thunderbird, wie schon bei Firefox Quantum standardmäßig nur noch Erweiterungen installiert werden können, die dem neuen Standard entsprechen.
WebExtensions auch bei Thunderbird 60
Die alten XUL-basierten Erweiterungen werden deaktiviert oder lassen sich erst gar nicht mehr installieren. Allerdings gibt es auch hier eine Übergangsfrist, während derer diese Vorgabe übergangen werden kann. Dazu geht man unter Bearbeiten – Einstellungen auf die Registerkarte Erweitert und dort unten auf Konfiguration bearbeiten. Daraufhin öffnet sich, was wir bei Firefox als about: config kennen. Nach Eingaben von extensions.strict kann der Wert durch Doppelklick auf die Zeile von true auf false gesetzt werden.
Noch lässt sich die Vorgabe zu WebExtensions übergehen
Zeitweiliger Workaround
Daraufhin sollten die meisten Erweiterungen wieder aktivier- bzw. installierbar sein. Wie lange diese Möglichkeit besteht, ist jedoch unbekannt. Die Kompatibilität von Erweiterungen mit Thunderbird 60 lässt sich auch vorab überprüfen. Erst kürzlich erhielt Thunderbird hierzu eine eigene Webseite, auf der die Kompatibilität von allen verfügbaren Erweiterungen angegeben wird.
Bei der Optik erfuhr Thunderbird 60 eine Modernisierung. So werden neben dem Standard-Theme eine Light- und eine Dark-Variante mit ausgeliefert. Ansonsten sind nun auch Themes nach dem neuen Standard WebExtensions installierbar. Das Logo von Thunderbird wurde ebenfalls modernisiert.
Aufwertung an vielen Stellen
Der Kalender wurde ebenfalls aufgewertet und erlaubt es, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auch wiederkehrende Ereignisse lassen sich nun kopieren, ausschneiden und löschen.
Beim Verfassen von E-Mails können bereits eingetragene Empfänger einzeln wieder entfernt werden, wenn sich die Maus über dem entsprechenden Feld befindet. Das Menü für Anhänge ist an den rechten Rand des Fensters gerückt und wurde um die Möglichkeit erweitert, bereits eingestellte Anhänge per Dialog, Tastatur oder Drag&Drop zu sortierern.
Thunderbird 60 mit neuem Dialog für Anhänge
Sicherheit verbessert
Bei der Sicherheit wurde OAuth2-Authentifizierung- für Yahoo und AOL hinzugefügt. Zudem wird generell FIDO U2F unterstützt. Als experimentelle Funktion können Ordner von mbox nach maildir und zurück konvertiert werden. Dazu muss in den Einstellungen wie bereits oben beschrieben der String mail.store_conversion_enabled gesetzt werden. Alle weiteren Änderungen bei Thunderbird 60 können den Release Notes entnommen werden.
Am 18. Mai stellte Mozilla eine neue Version des E-Mail-Clients Thunderbird bereit. Thunderbird 52.8.0 beseitigt mehrere Sicherheitslücken, unter anderem auch in Bezug auf das Auslesen verschlüsselter E-Mails durch EFAIL. Ein Bug, der erst in der nächsten Version behoben werden wird, ist das weiterhin mögliche Darstellen mehrerer Teile einer Mail in einem einzigen HTML-Kontext. Damit besteht weiterhin die Gefahr einer direkten Exfiltration, bei der sich ein Angreifer durch Manipulation recht einfach den Inhalt verschlüsselter Mails übersenden lassen kann.
Direkte Exfiltration
Um einen Exfiltrations-Rückkanal zu erstellen, benötigt der Angreifer zunächst Zugriff auf die verschlüsselten E-Mails, etwa durch Abhören des Netzwerkverkehrs, durch Eindringen in E-Mail-Konten, E-Mail-Server oder Client-Computer. Der Angreifer manipuliert eine verschlüsselte E-Mail in einer bestimmten Weise und sendet diese geänderte verschlüsselte E-Mail an das Opfer. Der E-Mail-Client des Opfers entschlüsselt die E-Mail und lädt die manipulativ eingefügten externen Inhalte, wodurch der Klartext an den Angreifer weitergegeben wird.
Externe Inhalte derzeit meiden
Das funktioniert bei Thunderbird aber nur, wenn der Anwender selbst die Funktion zum Nachladen externer Inhalte aktiviert hat. Die ist bei Thunderbird von Hause aus deaktiviert. So rät Mozilla dann auch, falls verschlüsselte Mails nachfragen, ob sie externe Inhalte nachladen sollen, dies zurzeit unbedingt zu verneinen. In jedem Fall sollte möglichst zeitnah Thunderbird 52.8.0 installiert werden. Bis zur nächsten Thunderbird-Version 52.8.1 sollten Anwender auf alle Fälle Vorsicht walten lassen, falls Mail-Verschlüsselung per PGP oder S/MIME verwendet wird. Wann mit Entwarnung durch Thunderbird 52.8.1 zu rechnen ist, hat Mozilla noch nicht erklärt. Standardmäßig wäre das nächste Release erst am 26.6.
Mozilla Thunderbird 60 wird auch den letzten Zweifler überzeugen, dass der weit verbreitete E-Mail-Client nicht ausentwickelt ist, wie das Mozillas Michelle Baker vor Jahren behauptet hatte. Das war einer der Gründe, warum Mozilla sich von Thunderbird zurückziehen wollte. Heute nutzt Thunderbird zwar noch Mozillas Infrastruktur, wird aber ansonsten von einem unabhängigen Entwicklerteam betreut.
Lange wurde dementsprechend Thunderbird lediglich gepflegt anstatt weiter entwickelt. Das damit seit einiger Zeit Schluss ist, belegt auch die jetzt erschienene Beta-Version zu Thunderbird 60. Nachdem die optische Erneuerung in den Händen eines Design-Teams liegt, sind im Dezember 2017 vier neue Entwickler zum Team gestoßen.
Empfänger entfernen
Thunderbird 60 zeigt beim Überfahren des Empfänger-Felds der Adresseingabe eine Entfernen-Schaltfläche in Form eines X, sodass bereits eingetragene Empfänger mit einmem Klick wieder entfernt werden können. Zudem wird bei der Adresseingabe der bereits eingegebene Teil einer Adresse aus einem Adressbuch fett angezeigt. Der Tastenkürzel ALT-M zeigt während der Erstellung einer Mail das Eingabefeld für Anhänge.
Mbox oder Maildir
Ordner können nun vom Mbox-Format nach Maildir und zurück konvertiert werden. Diese Funktion ist derzeit allerdings noch im experimentellen Stadium. Zudem bietet Thunderbird 60 an, IMAP-Ordner zu komprimieren, auch wenn das Konto online ist. Auch die Kalender-Komponente wurde aufgewertet. So können einzelne oder mehrere Einträge kopiert, ausgeschnitten oder entfernt werden. Zudem ist es möglich, Orte für Kalenderereignisse sowohl in der Tages- als auch in der Wochenansicht anzuzeigen.
Die Kalender-Komponente bietet zudem nun auch die Möglichkeit, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auf der Seite mit den Release Notes kann Thunderbird 60 Beta heruntergeladen werden.
Sowohl Firefox als auch Thunderbird erlauben es Benutzern, in den Einstellungen ein »Master-Passwort« einzurichten. Dieses Master-Passwort dient der Verschlüsselung von Passwörtern, die in den Anwendungen vom Nutzer gespeichert werden. Generell ist diese Methode unterhalb der von ausgewachsenen Passwort-Managern angesiedelt, aber immer noch besser als keine Passwortverwaltung und daraus meist resultierend, die Mehrfachverwendung einfach zu merkender Passwörter.
Mozilla Passwort-Manager unsicher
Wie sich jetzt herausstellte, ist diese Funktion bei den Mozilla-Produkten nur sehr schlecht abgesichert und für jeden Hacker, der jemals den Begriff Brute-Force gehört hat, ein Kinderspiel. Das entdeckte jetzt Wladimir Palant, Entwickler der Adblock-Erweiterung. Herzstück der Verschlüsselung bei Mozilla ist die Funktion sftkdb_passwordToKey(), die ein Passwort in einen Schlüssel umwandelt, indem es SHA-1-Hashing auf einen String anwendet, der aus einem zufälligen Salt und dem Master-Passwort besteht.
SHA-1 zum Hashen
Dieser Ansatz mit SHA-1 und die Implementierung seitens Mozilla hat zwei gewichtige Probleme. Zunächst ist SHA-1 bereits seit 2005 als gebrochen bekannt, wie der Kryptographieexperte Bruce Schneier damals in seinem Blog schrieb. Allerdings rechtfertigte damals der nötige Aufwand die Kosten nicht.
2017 gelang Forschern bei Google und aus den Niederlanden erstmals ein Kollisionsangriff, bei dem zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash erzeugt wurden. Seit 2015 gilt generell die Empfehlung, von SHA-1 auf die Nachfolger SHA-2 und SHA-3 zu wechseln, da es sich durch günstige Rechenkraft mittlerweile durchaus lohnen kann, SHA-1 zu knacken.
Nur eine Iteration
Das zweite Problem bei Mozillas Master-Passwort ist, das SHA-1 bei der Erzeugung des Schlüssels genau einmal iteriert. Branchenüblich sind hier Werte zwischen 10.000 und 500.000 Iterationen, je nachdem, was verschlüsselt wird. Das ist grob vergleichbar mit einem Paket, das nur einmal mit Geschenkpapier umwickelt ist, es ist schnell ausgepackt. Mit der Zahl der Lagen steigt auch der Aufwand des Entpackens.
Bugreport mit Bart
Nun hat Mozilla seit neun Jahren einen entsprechenden Bugreport vorliegen, dessen Brisanz unverständlicherweise niemand realisiert hat. Dabei ist SHA-2 bereits seit 2001 standardisiert. Mittlerweile kommt durch die Berichterstattung auf BleepingComputer und der Diskussion auf Reddit wieder Leben in den Bugreport und die Mozillianer fragen sich, wie das passieren konnte. Nun wird hoffentlich schnell eine Lösung erarbeitet, die dieses Problem aus der Welt schafft.
