Bericht über Schwachstelle in Tutanota

Wir haben eine Sicherheitslücke innerhalb eines Tages nach der Meldung behoben.

Focus on security: Fixed vulnerability within two days.

Am 3. April wurde eine anfällige Version von Tutanota veröffentlicht. Wir wurden drei Tage später von einem unserer Nutzer auf das Problem aufmerksam gemacht und haben es sofort behoben. Nun wurden alle betroffenen Versionen von Tutanota deaktiviert und wir möchten Sie aus Gründen der Transparenz über das Problem informieren.


Alle Tutanota-Apps (Web, Desktop, Android, iOS) der Version 3.112.5 waren anfällig für die HTML-Attribut-Injektion, die wir im Folgenden näher erläutern.

Die Schwachstelle ist behoben und die anfälligen App-Versionen wurden deaktiviert und können nicht mehr verwendet werden.

Details der Sicherheitslücke

Mit der App-Version 3.112.5 wurde die Anzeige des E-Mail-Betreffs in der Kopfzeile der App eingeführt. Dies geschah durch das Setzen eines Titels für eine Komponente, die diesen Abschnitt der App anzeigt. Derselbe Titel wird als barrierefreier ARIA-Titel für diese Ansicht über das Attribut aria-label verwendet. Der Code nutzte die Hyperscript-Fähigkeiten von Mithril, um ARIA-Attribute über einen einzigen Selektorstring hinzuzufügen. Der Selektorstring wurde auf unsichere Weise erstellt, so dass es möglich war, den Selektor und damit die HTML-Attribute zu manipulieren, indem ein speziell erstellter E-Mail-Betreff verwendet wurde.

Die Sicherheitslücke wurde durch die Verwendung eines Attributobjekts anstelle der Codierung von Attributen in einem Mithril-Selektor behoben.

Auswirkungen

Uns ist kein Fall bekannt, in dem die Sicherheitslücke ausgenutzt wurde.

Von Ihrer Seite sind keine Maßnahmen erforderlich.

Wann geschah was

  • 03-04-2023 Die Version mit der Schwachstelle wird veröffentlicht
  • 06-04-2023 Berichte über Mails gehen ein, die Sicherheitslücke wird gepatcht, die gepatchte Version wird veröffentlicht
  • 09-05-2023 Die anfällige Version wird als veraltet markiert
  • 25-05-2023 Die anfällige Version wird deaktiviert

Open Source erhöht das Sicherheitsniveau

Wir haben immer betont, dass Open-Source-Tools sicherer sind als Closed-Source-Anwendungen. Der Code von Open-Source-Clients kann von der Sicherheitsgemeinschaft geprüft werden, um sicherzustellen, dass der Code frei von Fehlern, Schwachstellen und Hintertüren ist.

Die oben beschriebene Sicherheitslücke ist zwar bedauerlich, zeigt aber, dass dies tatsächlich der Fall ist. Geschlossener Quellcode kann zwar ähnliche Probleme haben, aber die Benutzer werden davon vielleicht nie erfahren.

Wir freuen uns, dass sowohl Sicherheitsexperten als auch unsere Benutzer unseren Code prüfen und Probleme melden.

Das motiviert uns, noch intensiver an der Verbesserung von Tutanota zu arbeiten!