Divulgation de la vulnérabilité

Nous avons corrigé une vulnérabilité dans un délai d'un jour à compter de la notification.

Focus on security: Fixed vulnerability within two days.

Le 3 avril, une version vulnérable de Tutanota a été publiée. Nous avons été informés du problème trois jours plus tard par l'un de nos utilisateurs et nous l'avons corrigé immédiatement. Aujourd'hui, toutes les versions de Tutanota concernées ont été désactivées et nous souhaitons vous informer de ce problème dans un souci de transparence.


Toutes les applications Tutanota (web, desktop, Android, iOS) version 3.112.5 étaient vulnérables à l’injection d’attributs HTML que nous expliquons plus en détail ci-dessous.

La vulnérabilité est corrigée et les versions vulnérables des applications ont été désactivées et ne peuvent plus être utilisées.

Détails de la vulnérabilité

La version 3.112.5 de l’application a introduit l’affichage du sujet du courrier dans l’en-tête de l’application. Cela a été fait en définissant un titre pour un composant affichant cette section de l’application. Le même titre est utilisé comme titre ARIA d’accessibilité pour cette vue via l’attribut aria-label. Le code utilisait les capacités hyperscript de mithril pour ajouter des attributs ARIA via une seule chaîne de sélection. La chaîne du sélecteur était fabriquée de manière peu sûre, ce qui permettait de manipuler le sélecteur et donc les attributs HTML en utilisant un sujet d’email spécifiquement fabriqué.

La vulnérabilité a été corrigée en utilisant un objet d’attributs au lieu d’encoder les attributs dans un sélecteur mithril.

Impact

Nous n’avons connaissance d’aucun incident où cette vulnérabilité aurait été exploitée.

Aucune action n’est nécessaire de votre part.

Chronologie

  • 03-04-2023 Publication de la version vulnérable
  • 06-04-2023 Des rapports concernant le courrier sont reçus, la vulnérabilité est corrigée, la version corrigée est publiée.
  • 09-05-2023 La version vulnérable est marquée comme obsolète.
  • 25-05-2023 La version vulnérable est désactivée.

L’Open Source augmente le niveau de sécurité

Nous avons toujours insisté sur le fait que les outils à source ouverte sont plus sûrs que les applications à source fermée. Le code des clients open source peut être inspecté par la communauté de la sécurité pour s’assurer que le code est exempt de bogues, de vulnérabilités et de portes dérobées.

Bien que regrettable, la vulnérabilité que nous décrivons ci-dessus montre que c’est effectivement le cas. Un code source fermé peut présenter des problèmes similaires, mais les utilisateurs risquent de ne jamais s’en rendre compte.

Nous sommes heureux que des experts en sécurité ainsi que nos utilisateurs examinent notre code et signalent des problèmes.

Cela nous motive à travailler encore plus dur pour améliorer Tutanota !