Aufatmen beim Enigmail/p≡p-Modus unter Windows:
Wir hatten am 3. Oktober über einen schwerwiegenden Fehler im Enigmail/p≡p-Modus für Windows berichtet, der mit dem Update 1.0.23 vom 26. September entstand. Betroffen von diesem Fehler waren ob frühestens Ende September maximal 6'000 der geschätzt rund 145'000 Windows-Benutzer von Enigmail/p≡p. Seit Freitag, 22 Uhr MESZ und nach intensiven Tests wird die Version 1.0.24 ausgeliefert, welche auch betroffene Benutzer, die unserem Workaround nicht gefolgt sind, schützt.

Lösung

Seit Freitag, 12. Oktober um 22 Uhr MESZ wird die neue Version von Enigmail/p≡p ausgeliefert. Benutzer sind dringend gebeten, der Update-Aufforderung von Enigmail zu folgen und die Aktualisierung der p≡p-Distribution 1.0.24 einzuspielen.

Das Update hat länger gedauert als erwartet – es wurde dafür ausreichend getestet. Dabei ist zu beachten, dass Windows-7-Benutzer unter 32-Bit-Versionen (x32/x86) mindestens Service-Pack 2 benötigen, damit Enigmail/p≡p unter Windows funktioniert. Andernfalls fällt Enigmail in den klassischen Modus zurück.

Kurzum: Wir raten dringend dazu, auch das Windows-System auf den aktuellen Stand zu bringen.

(Wir hatten bestehende Benutzer vor diesem Update und neue Benutzer, die seit dem 26. September Enigmail/p≡p unter Windows einsetzen, per 3. Oktober nahegelegt, in den klassischen Enigmail-Modus zu wechseln. Nach erfolgtem Update und für neue Benutzer erübrigt sich dieser Schritt.)

Hintergrund

Wie im Blog-Artikel vom 3. Oktober nachgeführt ist, war Auslöser des Fehlers – der zum unverschlüsselten Versand von Nachrichten führte – ein Build-Fehler in der Windows-Version von Enigmail/p≡p, der auf menschliches Versagen zurückzuführen ist: dabei wurde vergessen die libiconv-Bibliothek in die libetpan-DLL zu verlinken, was zu undefiniertem Verhalten führt und libetpan dazu veranlasste mit Speicherfehlern zu quittieren – was zu unverschlüsselten Nachrichten führte. Dies brachte Enigmail sodann dazu – mangels entsprechender Fehlerbehandlung gegenüber p≡p (vgl. Ticket 909 zum Thema) – diese Nachrichten ungeschützt an Thunderbird zum Versand via SMTP weiterzureichen.

Schadensmass

Das Update 1.0.24 behebt unter Windows den fehlerhaften Enigmail/p≡p-Modus, den maximal 6'000 (von rund 145'000) Benutzern kurzzeitig eingesetzt haben können – soviele Downloads waren gemäss Zahlen von Patrick Brunschwig, Hauptentwickler vom Enigmail-Projekt, zwischen dem 26. September und dem 3. Oktober zu verzeichnen. Nur in dieser Zeitspanne hat man sich das fehlerhafte Update und nur für Windows einspielen können.

Noch am 3. Oktober haben wir die Auslieferung der Version 1.0.23 der p≡p-Distribution gestoppt und konnten den Schaden somit begrenzen.

Die anderen zusätzlichen 100'000 bis 150'000 Benutzer unter Linux oder macOS waren von diesem Fehler zu keiner Zeit betroffen. Auch Produkte der p≡p security, namentlich p≡p for Android, iOS und Outlook lassen einen derartigen Fehler auf Grund entsprechender Fehlerbehandlung nicht zu.

Fehlervermeidung

Trotz begrenzter Ressourcen für Community-Projekte, gilt es derart fatale Fehler in Zukunft auf jeden Fall zu vermeiden: wir testen entsprechend neuere Updates ausgiebig, wie dies von Anfang an – und für alle Plattformen – hätte der Fall sein sollen und wie dies die Frima p≡p security für ihre Produkte systematisch und mit einem dedizierten Team macht. Dabei gilt es teilautomatisierte Testverfahren zu etablieren und dennoch ausgiebige manuelle Tests der wichtigen Funktionen zu vollziehen, sowie die Fehlerbehandlung – in Enigmail – zu verbessern, damit solche Fälle ausgeschlossen werden.

Wir entschuldigen uns bei unseren Benutzern für diesen Faux-Pax und versprechen, hart, vorsichtig und genau zu arbeiten. Wir werden in Kürze auch Details über den gesamten Build-Prozess veröffentlichen, so dass interessierte Benutzer selber – zu jeder Zeit – den Entstehungsprozess der p≡p-Distribution nachvollziehen und ihre Funktionsweise eigens überprüfen können.