Get The Black Friday & Cyber Monday Deal

Save 62%

Divulgazione di vulnerabilità

Abbiamo risolto una vulnerabilità entro un giorno dalla notifica.

Focus on security: Fixed vulnerability within two days.

Il 3 aprile è stata rilasciata una versione vulnerabile di Tutanota. Siamo stati informati del problema tre giorni dopo da uno dei nostri utenti e lo abbiamo risolto immediatamente. Ora, tutte le versioni interessate di Tutanota sono state disabilitate e desideriamo informarvi del problema per garantire la massima trasparenza.


Tutte le applicazioni Tutanota (web, desktop, Android, iOS) versione 3.112.5 erano vulnerabili all’iniezione di attributi HTML che spieghiamo in dettaglio qui di seguito.

La vulnerabilità è stata risolta e le versioni delle app vulnerabili sono state disabilitate e non possono più essere utilizzate.

Dettagli della vulnerabilità

La versione 3.112.5 dell’app ha introdotto la visualizzazione dell’oggetto della posta nell’intestazione dell’app. Ciò è stato fatto impostando un titolo per un componente che visualizza la sezione dell’app. Lo stesso titolo viene utilizzato come titolo ARIA di accessibilità per quella vista tramite l’attributo aria-label. Il codice utilizzava le funzionalità di iperscript di mithril per aggiungere attributi ARIA tramite una singola stringa di selezione. La stringa del selettore è stata realizzata in modo non sicuro e ciò ha reso possibile la manipolazione del selettore e quindi degli attributi HTML utilizzando un oggetto di posta elettronica appositamente realizzato.

La vulnerabilità è stata risolta utilizzando un oggetto attributi invece di codificare gli attributi in un selettore Mithril.

Impatto

Non siamo a conoscenza di alcun incidente in cui la vulnerabilità sia stata sfruttata.

Non è necessaria alcuna azione da parte vostra.

Cronologia

  • 03-04-2023 Rilascio della versione vulnerabile
  • 06-04-2023 Vengono ricevute segnalazioni di posta elettronica, la vulnerabilità viene patchata, la versione patchata viene rilasciata
  • 09-05-2023 La versione vulnerabile viene contrassegnata come obsoleta
  • 25-05-2023 La versione vulnerabile viene disattivata

L’open source aumenta il livello di sicurezza

Abbiamo sempre sottolineato il fatto che gli strumenti open source sono più sicuri delle applicazioni closed source. Il codice dei client open source può essere ispezionato dalla comunità della sicurezza per assicurarsi che sia privo di bug, vulnerabilità e backdoor.

Sebbene sia un peccato, la vulnerabilità descritta sopra dimostra che ciò è effettivamente vero. Sebbene il codice closed source possa presentare problemi simili, gli utenti potrebbero non scoprirlo mai.

Siamo lieti che gli esperti di sicurezza e i nostri utenti esaminino il nostro codice e segnalino i problemi.

Questo ci spinge a lavorare ancora più duramente per migliorare Tutanota!