Revelación de vulnerabilidades
Hemos corregido una vulnerabilidad en el plazo de un día desde su notificación.
Todas las aplicaciones de Tutanota (web, escritorio, Android, iOS) versión 3.112.5 eran vulnerables a la inyección de atributos HTML que explicamos con más detalle a continuación.
La vulnerabilidad se ha corregido y las versiones vulnerables de las aplicaciones se han desactivado y ya no se pueden utilizar.
Detalles de la vulnerabilidad
La versión 3.112.5 de la aplicación introdujo la visualización del asunto del correo en la cabecera de la aplicación. Esto se hacía estableciendo un título para un componente que mostraba esa sección de la aplicación. El mismo título se utiliza como título ARIA de accesibilidad para esa vista a través del atributo aria-label
. El código utilizaba las capacidades hyperscript de mithril para añadir atributos ARIA a través de una única cadena de selección. La cadena del selector estaba manipulada de forma insegura, lo que permitía manipular el selector y, por tanto, los atributos HTML mediante el uso de un asunto de correo electrónico manipulado específicamente.
La vulnerabilidad se solucionó utilizando un objeto attributes en lugar de codificar los atributos en un selector mithril.
Impacto
No tenemos conocimiento de ningún incidente en el que se haya explotado la vulnerabilidad.
No es necesaria ninguna acción por su parte.
Cronología
- 03-04-2023 Se publica la versión vulnerable.
- 06-04-2023 Se reciben informes sobre el correo, se parchea la vulnerabilidad y se publica la versión parcheada.
- 09-05-2023 La versión vulnerable se marca como obsoleta.
- 25-05-2023 Se desactiva la versión vulnerable
El código abierto aumenta el nivel de seguridad
Siempre hemos insistido en el hecho de que las herramientas de código abierto son más seguras que las aplicaciones de código cerrado. El código de los clientes de código abierto puede ser inspeccionado por la comunidad de seguridad para asegurarse de que el código está libre de errores, vulnerabilidades y puertas traseras.
Aunque desafortunada, la vulnerabilidad que describimos anteriormente demuestra que esto es realmente cierto. Aunque el código fuente cerrado puede tener problemas similares, es posible que los usuarios nunca lo descubran.
Nos alegra que tanto los expertos en seguridad como nuestros usuarios examinen nuestro código e informen de los problemas.
Nos motiva a trabajar aún más duro para mejorar Tutanota.