Thunderbird-Update schließt Efail-Lücke

Thunderbird-Update notwendig, um Efail zu verhindern:

Thunderbird war bis Freitag für die Efail-Sicherheitslücke verwundbar, für Apple Mail gibt es bislang überhaupt kein Update. Vorläufig ist es empfehlenswert, HTML-Mails komplett zu deaktivieren.

Um Efail zu unterbinden reicht es, wie Hanno Böcke selbst schreibt, HTML in Thunderbird zu deaktivieren. Damit hat sich auch die Direct Exfiltration mehrerer Mailparts erledigt. Hier liegt wieder kein PGP-Problem vor. Das ist ein Konfigurationsfehler der Nutzer, die gegen der Empfehlung das Nachladen von Ressourcen aus dem Netz aktiviert haben.

Wie ich hier schon erwähnt hatte, sind HTML-Mails eine doofe Idee. Daran ändert auch das Thunderbird-Update, das neben der Efail-Lücke weitere Lücken und Bugs schließt, nichts. In HTML-Mails können nach wie vor Links eingebettet sein, die zum Klick auf eine verseuchte Seite einladen oder einfach sonstigen Müll nachladen.

HTML-Mails verschlüsselt man nicht! Wer es trotzdem macht, ist ein Schwachkopf! Wer mir eine HTML-Mail schickt, hat Pech gehabt. Mein Client kann nur plain text.