Tutanotaの全アプリ(Web、デスクトップ、Android、iOS)バージョン3.112.5には、以下に詳しく説明するHTML属性インジェクションの脆弱性がありました。
脆弱性は修正され、脆弱性のあるアプリのバージョンは無効化され、使用することができなくなりました。
脆弱性の詳細
アプリバージョン3.112.5では、アプリのヘッダーにメールの件名を表示することを導入しました。これは、そのアプリのセクションを表示するコンポーネントにタイトルを設定することによって行われました。同じタイトルは、aria-label
属性によって、そのビューのアクセシビリティARIAタイトルとして使用されます。このコードは、mithrilのハイパースクリプト機能を利用して、1つのセレクタ文字列を介してARIA属性を追加するものでした。このセレクタ文字列は安全でない方法で作られており、特別に細工された電子メールの件名を使用することで、セレクタを操作し、その結果HTML属性を操作することが可能になっていました。
この脆弱性は、mithrilセレクタで属性をエンコードする代わりに、attributesオブジェクトを使用することで修正されました。
影響について
本脆弱性が悪用された事象は把握しておりません。
お客様側での対処は必要ありません。
時系列
- 03-04-2023 脆弱性のあるバージョンがリリースされる。
- 06-04-2023 メールによる報告を受け、脆弱性を修正し、修正版をリリースする。
- 09-05-2023 脆弱性のあるバージョンが古いものとしてマークされる
- 25-05-2023 脆弱なバージョンを無効化する。
オープンソースはセキュリティレベルを向上させる
私たちは常に、オープンソースのツールはクローズドソースのアプリケーションよりも安全であるという事実を強調してきました。オープンソースのクライアントのコードは、セキュリティコミュニティによって検査され、バグや脆弱性、バックドアがないことを確認することができます。
残念なことですが、上で説明した脆弱性は、これが実際に真実であることを示しています。クローズドソースのコードには同様の問題があるかもしれませんが、ユーザーがこのことを知ることはないかもしれません。
私たちは、セキュリティの専門家やユーザーが私たちのコードを見て、問題を報告してくれることを嬉しく思っています。
Tutanotaをより良くするために、より一層努力する意欲が湧いてきます!