Divulgazione di vulnerabilità
Abbiamo risolto una vulnerabilità entro un giorno dalla notifica.
Tutte le applicazioni Tutanota (web, desktop, Android, iOS) versione 3.112.5 erano vulnerabili all’iniezione di attributi HTML che spieghiamo in dettaglio qui di seguito.
La vulnerabilità è stata risolta e le versioni delle app vulnerabili sono state disabilitate e non possono più essere utilizzate.
Dettagli della vulnerabilità
La versione 3.112.5 dell’app ha introdotto la visualizzazione dell’oggetto della posta nell’intestazione dell’app. Ciò è stato fatto impostando un titolo per un componente che visualizza la sezione dell’app. Lo stesso titolo viene utilizzato come titolo ARIA di accessibilità per quella vista tramite l’attributo aria-label
. Il codice utilizzava le funzionalità di iperscript di mithril per aggiungere attributi ARIA tramite una singola stringa di selezione. La stringa del selettore è stata realizzata in modo non sicuro e ciò ha reso possibile la manipolazione del selettore e quindi degli attributi HTML utilizzando un oggetto di posta elettronica appositamente realizzato.
La vulnerabilità è stata risolta utilizzando un oggetto attributi invece di codificare gli attributi in un selettore Mithril.
Impatto
Non siamo a conoscenza di alcun incidente in cui la vulnerabilità sia stata sfruttata.
Non è necessaria alcuna azione da parte vostra.
Cronologia
- 03-04-2023 Rilascio della versione vulnerabile
- 06-04-2023 Vengono ricevute segnalazioni di posta elettronica, la vulnerabilità viene patchata, la versione patchata viene rilasciata
- 09-05-2023 La versione vulnerabile viene contrassegnata come obsoleta
- 25-05-2023 La versione vulnerabile viene disattivata
L’open source aumenta il livello di sicurezza
Abbiamo sempre sottolineato il fatto che gli strumenti open source sono più sicuri delle applicazioni closed source. Il codice dei client open source può essere ispezionato dalla comunità della sicurezza per assicurarsi che sia privo di bug, vulnerabilità e backdoor.
Sebbene sia un peccato, la vulnerabilità descritta sopra dimostra che ciò è effettivamente vero. Sebbene il codice closed source possa presentare problemi simili, gli utenti potrebbero non scoprirlo mai.
Siamo lieti che gli esperti di sicurezza e i nostri utenti esaminino il nostro codice e segnalino i problemi.
Questo ci spinge a lavorare ancora più duramente per migliorare Tutanota!