In ihrem Advisory 2018-09 veröffentlicht die Mozilla Foundation Sicherheitsupdates für den quelloffenen Mailclient Thunderbird (52.7). Drei von diesen Updates und damit auch das Gesamtupdate stuft Mozilla als „kritisch“ ein. Zwei davon werden mit „hoch“ eingestuft und eines der Lecks gilt als moderate Bedrohung der Sicherheit.
Prominentes Leck im Master-Passwort-Manager
Vor wenigen Tagen ist ein schwerwiegendes Sicherheitsleck in der „Master-Password“-Erweiterung bekannt geworden. Weil das Master-Passwort, mit dem sich Nutzer bei verschiedenen Diensten anmelden können, nur mit einem einzigen SHA-1-und nur einem zufälligen Salt-Wert geschützt ist, ist es dank moderner, leistungsstarker Grafikkarten sehr einfach möglich mit einer Bruteforce-Attacke auch längere und komplexere Passwörter relativ schnell zu knacken. Um das sicher zu verhindern, brauche es mindestens 100.000 Wiederholungen, sagt Wladimir Palant, der Entwickler der Browser-Erweiterung AdBlock Plus.
Fixen mit Lockbox
Das Leck im Master-Passwort-Manager will Mozilla mit der Erweiterung Lockbox beheben, allerdings steht diese noch nicht für alle Versionen zur Verfügung.
