Divulgazione di vulnerabilità

Abbiamo risolto una vulnerabilità entro un giorno dalla notifica.

2023-06-12

Focus on security: Fixed vulnerability within two days.

Il 3 aprile è stata rilasciata una versione vulnerabile di Tutanota. Siamo stati informati del problema tre giorni dopo da uno dei nostri utenti e lo abbiamo risolto immediatamente. Ora, tutte le versioni interessate di Tutanota sono state disabilitate e desideriamo informarvi del problema per garantire la massima trasparenza.

Tutte le applicazioni Tutanota (web, desktop, Android, iOS) versione 3.112.5 erano vulnerabili all'iniezione di attributi HTML che spieghiamo in dettaglio qui di seguito.

La vulnerabilità è stata risolta e le versioni delle app vulnerabili sono state disabilitate e non possono più essere utilizzate.

Dettagli della vulnerabilità

La versione 3.112.5 dell'app ha introdotto la visualizzazione dell'oggetto della posta nell'intestazione dell'app. Ciò è stato fatto impostando un titolo per un componente che visualizza la sezione dell'app. Lo stesso titolo viene utilizzato come titolo ARIA di accessibilità per quella vista tramite l'attributo aria-label. Il codice utilizzava le funzionalità di iperscript di mithril per aggiungere attributi ARIA tramite una singola stringa di selezione. La stringa del selettore è stata realizzata in modo non sicuro e ciò ha reso possibile la manipolazione del selettore e quindi degli attributi HTML utilizzando un oggetto di posta elettronica appositamente realizzato.

La vulnerabilità è stata risolta utilizzando un oggetto attributi invece di codificare gli attributi in un selettore Mithril.

Impatto

Non siamo a conoscenza di alcun incidente in cui la vulnerabilità sia stata sfruttata.

Non è necessaria alcuna azione da parte vostra.

Cronologia

03-04-2023 Rilascio della versione vulnerabile
06-04-2023 Vengono ricevute segnalazioni di posta elettronica, la vulnerabilità viene patchata, la versione patchata viene rilasciata
09-05-2023 La versione vulnerabile viene contrassegnata come obsoleta
25-05-2023 La versione vulnerabile viene disattivata

L'open source aumenta il livello di sicurezza

Abbiamo sempre sottolineato il fatto che gli strumenti open source sono più sicuri delle applicazioni closed source. Il codice dei client open source può essere ispezionato dalla comunità della sicurezza per assicurarsi che sia privo di bug, vulnerabilità e backdoor.

Sebbene sia un peccato, la vulnerabilità descritta sopra dimostra che ciò è effettivamente vero. Sebbene il codice closed source possa presentare problemi simili, gli utenti potrebbero non scoprirlo mai.

Siamo lieti che gli esperti di sicurezza e i nostri utenti esaminino il nostro codice e segnalino i problemi.

Questo ci spinge a lavorare ancora più duramente per migliorare Tutanota!

Author

Black and white picture of Willow supporting themselves with an arm.

Willow è capo sviluppatrice a Tuta, con focus sul migliorare il client web di Tuta così come Tuta per Android e iPhone in termini di funzionalità e IU. Willow è un'esperta di tutte le cose open source e sul modo migliore d'implementare le protezioni per la privacy nella nostra piattaforma di secure email e calendario. A Willow piace spiegare perché l'open source sia importante e come costruire una grande interfaccia utente che renda facile crittografare.

Top post