脆弱性の開示

通知から1日以内に脆弱性を修正した。

Focus on security: Fixed vulnerability within two days.

4月3日、Tutanotaの脆弱なバージョンがリリースされました。私たちは3日後にユーザーの一人からこの問題について通知を受け、すぐに修正しました。現在、Tutanotaの影響を受けるすべてのバージョンは無効化されており、完全な透明性を保つために、この問題についてお知らせします。


Tutanotaの全アプリ(Web、デスクトップ、Android、iOS)バージョン3.112.5には、以下に詳しく説明するHTML属性インジェクションの脆弱性がありました。

脆弱性は修正され、脆弱性のあるアプリのバージョンは無効化され、使用することができなくなりました。

脆弱性の詳細

アプリバージョン3.112.5では、アプリのヘッダーにメールの件名を表示することを導入しました。これは、そのアプリのセクションを表示するコンポーネントにタイトルを設定することによって行われました。同じタイトルは、aria-label属性によって、そのビューのアクセシビリティARIAタイトルとして使用されます。このコードは、mithrilのハイパースクリプト機能を利用して、1つのセレクタ文字列を介してARIA属性を追加するものでした。このセレクタ文字列は安全でない方法で作られており、特別に細工された電子メールの件名を使用することで、セレクタを操作し、その結果HTML属性を操作することが可能になっていました。

この脆弱性は、mithrilセレクタで属性をエンコードする代わりに、attributesオブジェクトを使用することで修正されました。

影響について

本脆弱性が悪用された事象は把握しておりません。

お客様側での対処は必要ありません。

時系列

  • 03-04-2023 脆弱性のあるバージョンがリリースされる。
  • 06-04-2023 メールによる報告を受け、脆弱性を修正し、修正版をリリースする。
  • 09-05-2023 脆弱性のあるバージョンが古いものとしてマークされる
  • 25-05-2023 脆弱なバージョンを無効化する。

オープンソースはセキュリティレベルを向上させる

私たちは常に、オープンソースのツールはクローズドソースのアプリケーションよりも安全であるという事実を強調してきました。オープンソースのクライアントのコードは、セキュリティコミュニティによって検査され、バグや脆弱性、バックドアがないことを確認することができます。

残念なことですが、上で説明した脆弱性は、これが実際に真実であることを示しています。クローズドソースのコードには同様の問題があるかもしれませんが、ユーザーがこのことを知ることはないかもしれません。

私たちは、セキュリティの専門家やユーザーが私たちのコードを見て、問題を報告してくれることを嬉しく思っています。

Tutanotaをより良くするために、より一層努力する意欲が湧いてきます!