過去幾個月，Mozilla旗下安全電子郵件客戶端“雷鳥”（Thunderbird）被曝用純文本格式保存了一些用戶的OpenPGP密鑰。該漏洞的追踪代號為CVE-2021-29956，影響從78.8.1 ~ 78.10.1之間的軟件版本。雖然嚴重等級較低，但開發者還是努力在新版中實施了修復，同時為Thunderbird所使用的加密密鑰添加了額外的保護。

幾週前，Mozilla E2EE 郵件列表中的用戶發現，他們可在無需輸入主密碼的情況下，直接查看受OpenPGP 加密保護的電子郵件。而按照正常的功能邏輯，查看前是必須先進行用戶身份驗證的。

受該缺陷影響，本地攻擊者將可通過查看和復制這些OpenPGP 密鑰來偽造發件人，並悄悄地向其聯繫人發送不為用戶所知的電子郵件。

在最新的安全公告中，Mozilla提供了有關CVE-2021-29956漏洞的更多細節，以及他們是如何在Thunderbird 78.10.2版本中修復該漏洞的。

使用78.8.1 ~ 78.10.1 版本的Thunderbird 郵件客戶端的用戶，其OpenPGP 密鑰未能通過加密存儲的方式留在本地磁盤上，並導致主密碼保護功能失效。

不過在78.10.2 版本中，Thunderbird 已經恢復了新導入密鑰的保護機制，並將自動保護從受影響的舊版本上導入的OpenPGP 密鑰。

Mozilla Thunderbird項目團隊軟件開發者Kai Engert在接受The Register採訪時給出了相關解釋：

一旦用戶配置了主密碼，那在Firefox / Thunderbird 首次存儲任何機密內容時，系統都將提示用戶輸入密碼。

若輸入正確，則相應的密鑰將在會話期間維持被記住和解鎖的狀態，並且可根據需要來解鎖任何受保護的加密內容。

不過現在，Thunderbird 電子郵件客戶端已經過了重新編寫。為避免保護OpenPGP 密鑰，Mozilla 建議大家立即將Thunderbird 升級到最新的78.10.2 版本。

下載地址：https://www.thunderbird.net/en-US/download/