+
Die Add-ons von Firefox sind zwar praktisch, können manchmal aber auch zum Sicherheitsrisiko werden. Laut dem E-Mail-Anbieter Posteo ist dies bei "Mailvelope" der Fall. Foto: Inga Kjer/dpa-tmn/dpa

Software-Audit

Schwachstelle in Firefox macht Add-on Mailvelope unsicher

Eine Sicherheitslücke in der Add-on-Verwaltung des Firefox-Browsers hat ungeahnte Auswirkungen. Mit Hilfe manipulierter Zusatzprogramme könnten Angreifer sensible Daten wie die persönlichen PGP-Schlüssel aus dem Add-on Mailvelope ausspähen.

Berlin (dpa/tmn) - Der E-Mail-Anbieter Posteo warnt vor dem Einsatz des Add-ons Mailvelope im Firefox-Browser. Das Zusatzprogramm erlaubt den Versand von mit PGP verschlüsselten E-Mails in Webmail-Diensten.

Durch eine Schwachstelle im Browser können unter Umständen sensible persönliche Daten ausgelesen werden. Das ist das Ergebnis eines im Auftrag von Posteo durchgeführten Audits der Software. Betroffen sind grundsätzlich alle Nutzer von Mailvelope unter Firefox, ungeachtet ihres Mail-Anbieters.

Dem Audit nach grenzt die Sicherheitsarchitektur des Firefox Add-ons nicht genug voneinander ab. Mit Hilfe manipulierter anderer Add-ons könnten Dritte dann aus Mailvelope etwa den persönlichen PGP-Schlüssel eines Nutzer auslesen und folglich die Verschlüsselung der Mails brechen. Die Schwachstelle in der Add-on-Handhabung des Browsers ist schon länger bekannt, ihre Auswirkungen auf Mailvelope wurden erst durch die Sicherheitsüberprüfung sichtbar. Mailvelope-Entwickler Thomas Oberndörfer bestätigt den Posteo-Bericht auf Anfrage. Da es sich um eine Schwachstelle im Browser handele, könne er Mailvelope für Firefox aktuell nicht absichern.

Der Ratschlag für Mailvelope-Nutzer: Bis auf weiteres Mailvelope nicht mehr mit Firefox nutzen. Das Programm gibt es auch für Googles Chrome-Browser. Auch die Verwendung lokaler PGP-Alternativen wie etwa Enigmail in Verbindung mit Mozillas Thunderbird senken das Risiko. Eine weitere Lösung ist das Einrichten eines neuen Firefoxprofils, in dem nur Mailvelope als einziges Add-on installiert ist. Dieses Profil wird dann ausschließlich für den Aufruf des Webmail-Dienstes benutzt.

Bis zur Fertigstellung von Firefox 57 im November will Entwickler Mozilla die Lücke geschlossen haben. Auch eine Mailvelope-Version für die neue Sicherheitsarchitektur ist in Arbeit.

Bericht von Posteo

Auch interessant

Meistgelesene Artikel

Das kann Youtubes Bezahlangebot
Musikvideos, Audio-Alben, Playlists und Livestreaming ohne Werbeunterbrechungen: Das kostenpflichtige Abo-Angebot von YouTube ist nun auch in Deutschland verfügbar. Ein …
Das kann Youtubes Bezahlangebot
Oreo-Updates für Samsung S8 und S7 manuell einspielen
Software-Updates stellen die reibungslose Smartphone-Nutzung sicher und schließen eventuelle Sicherheitslücken. Üblicherweise ploppen Updates Over-the-air auf, können …
Oreo-Updates für Samsung S8 und S7 manuell einspielen
Schöne Tierfotos schießt man nicht von oben herab
Gute Tierfotografie ist definitiv nicht einfach. Nicht nur, dass der Fotograf sich einem Tier nicht mitteilen kann, auch körperlich ist er gefordert. Was für ein …
Schöne Tierfotos schießt man nicht von oben herab
Starker Sound und Siri-Schwächen mit Apples HomePod
Nach dem Überraschungserfolg mit den drahtlosen AirPods-Ohrhörern startet Apple mit dem vernetzten Lautsprecher HomePod sein zweites Soundprojekt. Deutsche Interessenten …
Starker Sound und Siri-Schwächen mit Apples HomePod

Kommentare

Ab dem 25.5.2018 gilt die Datenschutzgrundverordnung. Dazu haben wir unser Kommentarsystem geändert. Um kommentieren zu können, müssen Sie sich bei unserem Dienstleister DISQUS anmelden. Sollten Sie zuvor bereits ein Profil bei DISQUS angelegt haben, können Sie dieses weiter verwenden. Nutzer, die sich über den alten Portal-Login angemeldet haben, müssen sich bitte einmalig direkt bei DISQUS neu anmelden.