Enigmail und GPG Suite: Neue Mail-Plugin-Versionen schließen GnuPG-Lücke
Als Reaktion auf die "SigSpoof"-Lücke zum Umgehen von Signaturprüfungen gibt es neue abgesicherte Plugin-Versionen für gleich zwei E-Mail-Programme.
Die Entwickler der E-Mail-Verschlüsselungs-Plugins Enigmail für Thunderbird/SeaMonkey und GPG Suite für Apple Mail haben jeweils Sicherheits-Updates veröffentlicht. Damit reagieren sie unter anderem auf ein Sicherheitsproblem in GnuPG, das bis Version 2.2.8 exklusive bestand: CVE-2018-12020 alias SigSpoof ermöglicht Angreifern das Umgehen von Signaturprüfungen.
Die neue abgesicherte Enigmail-Version 2.0.7 ist mit Thunderbird und SeaMonkey ab 52-60 beziehungsweise 2.46 kompatibel. Sie behebt noch eine weitere, SigSpoof sehr ähnliche Sicherheitslücke (nämlich CVE-2018-12019) und wird automatisch über ein Addons-Update verteilt.
GPGTools hat seine GPG Suite auf Version 2018.3 aktualisiert. Sie ist nun sowohl gegen Efail als auch gegen SigSpoof abgesichert. Weitere Details sind den Release Notes zu entnehmen. (ovw)