Toutes les applications Tutanota (web, desktop, Android, iOS) version 3.112.5 étaient vulnérables à l'injection d'attributs HTML que nous expliquons plus en détail ci-dessous.
La vulnérabilité est corrigée et les versions vulnérables des applications ont été désactivées et ne peuvent plus être utilisées.
La version 3.112.5 de l'application a introduit l'affichage du sujet du courrier dans l'en-tête de l'application. Cela a été fait en définissant un titre pour un composant affichant cette section de l'application. Le même titre est utilisé comme titre ARIA d'accessibilité pour cette vue via l'attribut aria-label
. Le code utilisait les capacités hyperscript de mithril pour ajouter des attributs ARIA via une seule chaîne de sélection. La chaîne du sélecteur était fabriquée de manière peu sûre, ce qui permettait de manipuler le sélecteur et donc les attributs HTML en utilisant un sujet d'email spécifiquement fabriqué.
La vulnérabilité a été corrigée en utilisant un objet d'attributs au lieu d'encoder les attributs dans un sélecteur mithril.
Nous n'avons connaissance d'aucun incident où cette vulnérabilité aurait été exploitée.
Aucune action n'est nécessaire de votre part.
Nous avons toujours insisté sur le fait que les outils à source ouverte sont plus sûrs que les applications à source fermée. Le code des clients open source peut être inspecté par la communauté de la sécurité pour s'assurer que le code est exempt de bogues, de vulnérabilités et de portes dérobées.
Bien que regrettable, la vulnérabilité que nous décrivons ci-dessus montre que c'est effectivement le cas. Un code source fermé peut présenter des problèmes similaires, mais les utilisateurs risquent de ne jamais s'en rendre compte.
Nous sommes heureux que des experts en sécurité ainsi que nos utilisateurs examinent notre code et signalent des problèmes.
Cela nous motive à travailler encore plus dur pour améliorer Tutanota !