ニュース
「Thunderbird 91.9.0」が公開 ~互換性維持のためにOpenPGP署名でSHA-1を一部許可
8件の脆弱性修正も
2022年5月6日 13:00
オープンソースのメールソフト「Thunderbird」の最新版v91.9.0が、5月3日(米国時間)に正式公開された。本バージョンでは、OpenPGP機能に変更が加えられている。
「Thunderbird」は「OpenPGP」を標準でサポートされており、わざわざ拡張機能などを導入しなくてもデジタル署名と暗号化メールを手軽に扱える。
これを実現するために「Thunderbird」は内部でオープンソースのライブラリ「RNP」を使用しているが、「Thunderbird 91.8.0」に含まれる「RNP 0.16.0」では、「MD5」(すべて)や「SHA-1」(2019年1月中旬以降に作成されたメッセージのみ)を拒否する変更が加えられていた。これらのハッシュアルゴリズムはもはや古く、安全であるとは言えない。
しかし、この影響で「OpenPGP」鍵を利用できなくなったユーザーが予想以上に多かったという。そこで本バージョンでは互換性を考慮し、「SHA-1」の利用を再び認める変更が加えられた。
ただし、これはあくまでも移行に猶予を与えるための措置で、「SHA-1」が非推奨であることには変わりない。署名に「SHA-1」が用いられている場合は、公開鍵に警告が表示される。また、「MD5」は引き続きブロックされる。
開発チームは公開鍵にこの警告が表示されたら、通信相手に「SHA-1」を使わないように鍵をアップグレードするか、新しい鍵に切り替えるよう依頼してほしいとしている。
その他の修正は、以下の通り。
- macOS ディスクイメージのグラフィックをアップデート
- CalDAVカレンダーが起動時に読み取り専用になることがあった
- macOSのタスク作成フィールドで、検索アイコンが正しく表示されないことがある
なお、本バージョンではセキュリティ問題への対応も行われているので注意。修正された脆弱性は全部で8件で、深刻度の内訳は「High」が5件、「Moderate」が2件、「Low」が1件となっている。「Thunderbird」ではJavaScriptが既定で無効化されているため、「Firefox」ほどの脅威にはならないケースが多いが、できるだけ早めに対処しておきたい。
「Thunderbird」はWindows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、Windows版はWindows 7以降で利用可能。現在、公式サイト「thunderbird.net」からダウンロードできるほか、Windows版は窓の杜ライブラリからもダウンロード可能。すでに利用している場合は、自動更新機能でアップデートされる。