Divulgação de vulnerabilidades

Corrigimos uma vulnerabilidade no prazo de um dia após a notificação.

Focus on security: Fixed vulnerability within two days.

No dia 3 de Abril foi lançada uma versão vulnerável do Tutanota. Fomos notificados do problema três dias depois por um dos nossos utilizadores e corrigimo-lo imediatamente. Agora, todas as versões afetadas do Tutanota foram desativadas e gostaríamos de informá-lo sobre o problema para total transparência.


Todos os aplicativos Tutanota (web, desktop, Android, iOS) versão 3.112.5 eram vulneráveis à injeção de atributos HTML que explicamos em mais detalhes abaixo.

A vulnerabilidade foi corrigida e as versões dos aplicativos vulneráveis foram desativadas e não podem mais ser usadas.

Pormenores da vulnerabilidade

A versão 3.112.5 da aplicação introduziu a apresentação do assunto do correio no cabeçalho da aplicação. Isto foi feito através da definição de um título para um componente que apresenta essa secção da aplicação. O mesmo título é utilizado como um título ARIA de acessibilidade para essa vista através do atributo aria-label. O código estava a utilizar as capacidades de hyperscript do mithril para adicionar atributos ARIA através de uma única cadeia de selecção. A cadeia de selecção foi criada de forma insegura, o que tornou possível manipular o selector e, por conseguinte, os atributos HTML, utilizando um assunto de correio electrónico especificamente criado.

A vulnerabilidade foi corrigida através da utilização de um objecto de atributos em vez de atributos de codificação num selector mithril.

Impacto

Não temos conhecimento de qualquer incidente em que a vulnerabilidade tenha sido explorada.

Não é necessária qualquer acção da sua parte.

Linha de tempo

  • 03-04-2023 Lançamento da versão vulnerável
  • 06-04-2023 São recebidos relatórios sobre correio electrónico, a vulnerabilidade é corrigida e a versão corrigida é lançada
  • 09-05-2023 A versão vulnerável é marcada como desactualizada
  • 25-05-2023 A versão vulnerável é desactivada

A fonte aberta aumenta o nível de segurança

Sempre sublinhámos o facto de as ferramentas de código aberto serem mais seguras do que as aplicações de código fechado. O código dos clientes de código aberto pode ser inspeccionado pela comunidade de segurança para garantir que o código está livre de bugs, vulnerabilidades e backdoors.

Embora lamentável, a vulnerabilidade que descrevemos acima mostra que isso é realmente verdade. Embora o código-fonte fechado possa ter problemas semelhantes, os utilizadores podem nunca vir a saber disso.

Estamos satisfeitos por os especialistas em segurança, bem como os nossos utilizadores, estarem a analisar o nosso código e a comunicar problemas.

Isso nos motiva a trabalhar ainda mais para melhorar o Tutanota!