Divulgation de la vulnérabilité

Nous avons corrigé une vulnérabilité dans un délai d'un jour à compter de la notification.

2023-06-12
Focus on security: Fixed vulnerability within two days.
Le 3 avril, une version vulnérable de Tutanota a été publiée. Nous avons été informés du problème trois jours plus tard par l'un de nos utilisateurs et nous l'avons corrigé immédiatement. Aujourd'hui, toutes les versions de Tutanota concernées ont été désactivées et nous souhaitons vous informer de ce problème dans un souci de transparence.
S'INSCRIRE

Toutes les applications Tutanota (web, desktop, Android, iOS) version 3.112.5 étaient vulnérables à l'injection d'attributs HTML que nous expliquons plus en détail ci-dessous.

La vulnérabilité est corrigée et les versions vulnérables des applications ont été désactivées et ne peuvent plus être utilisées.

Détails de la vulnérabilité

La version 3.112.5 de l'application a introduit l'affichage du sujet du courrier dans l'en-tête de l'application. Cela a été fait en définissant un titre pour un composant affichant cette section de l'application. Le même titre est utilisé comme titre ARIA d'accessibilité pour cette vue via l'attribut aria-label. Le code utilisait les capacités hyperscript de mithril pour ajouter des attributs ARIA via une seule chaîne de sélection. La chaîne du sélecteur était fabriquée de manière peu sûre, ce qui permettait de manipuler le sélecteur et donc les attributs HTML en utilisant un sujet d'email spécifiquement fabriqué.

La vulnérabilité a été corrigée en utilisant un objet d'attributs au lieu d'encoder les attributs dans un sélecteur mithril.

Impact

Nous n'avons connaissance d'aucun incident où cette vulnérabilité aurait été exploitée.

Aucune action n'est nécessaire de votre part.

Chronologie

  • 03-04-2023 Publication de la version vulnérable
  • 06-04-2023 Des rapports concernant le courrier sont reçus, la vulnérabilité est corrigée, la version corrigée est publiée.
  • 09-05-2023 La version vulnérable est marquée comme obsolète.
  • 25-05-2023 La version vulnérable est désactivée.

L'Open Source augmente le niveau de sécurité

Nous avons toujours insisté sur le fait que les outils à source ouverte sont plus sûrs que les applications à source fermée. Le code des clients open source peut être inspecté par la communauté de la sécurité pour s'assurer que le code est exempt de bogues, de vulnérabilités et de portes dérobées.

Bien que regrettable, la vulnérabilité que nous décrivons ci-dessus montre que c'est effectivement le cas. Un code source fermé peut présenter des problèmes similaires, mais les utilisateurs risquent de ne jamais s'en rendre compte.

Nous sommes heureux que des experts en sécurité ainsi que nos utilisateurs examinent notre code et signalent des problèmes.

Cela nous motive à travailler encore plus dur pour améliorer Tutanota !

S'INSCRIRE
Author
Black and white picture of Willow supporting themselves with an arm.
Willow est "lead developer" chez Tuta, se concentrant sur l'amélioration du client web de Tuta ainsi que de Tuta pour Android et iPhone en termes de fonctionnalités et d'interface utilisateur. Willow a une expertise sur tout ce qui touche à l'open source et sur la meilleure façon de mettre en œuvre les protections de la vie privée dans notre plateforme sécurisée de messagerie et de calendrier. Willow aime expliquer pourquoi l'open source est important et comment construire une excellente interface utilisateur qui rend le cryptage facile.
Top posts
Modélisation des menaces en 2024 : Votre guide pour une meilleure sécurité
10 meilleurs services de messagerie privée en 2024
Google paie 1150 fois plus pour son monopole sur les moteurs de recherche que pour ses activités de lobbying dans l'UE et aux États-Unis
Pourquoi utiliser un gestionnaire de mots de passe - et nos 3 meilleurs !
Courriel anonyme : Créez une adresse électronique sans numéro de téléphone.
L'illusion que la "vie privée suisse" est la meilleure
10 meilleurs comptes de messagerie gratuits en 2024
Latest posts
Comment le Comité pour la justice utilise Tuta Mail pour lutter pour les droits de l'homme.
Toutes les données collectées par Facebook - et comment y mettre fin
Nouvelle victoire de NOYB en matière de protection de la vie privée : Vos données sont à saisir ? Ce n'est pas le cas dans l'UE - pas même pour l'IA de Meta !
Nouvelle option de paiement pour les utilisateurs de Tuta Mail sur iOS
Résilier l'abonnement
Entreprise
Communauté
Équipe
Recrutement
CGV
Confidentialité
Mentions légales
Développement
Changelog
Planning
Sécurité
Chiffrement
Open-source
GitHub
Fonctionnalités
E-mail sécurisé
Calendrier chiffré et gratuit
Entreprise
Support
Forum
Presse
Support
Langue
Français
Traduire