Todos os aplicativos Tutanota (web, desktop, Android, iOS) versão 3.112.5 eram vulneráveis à injeção de atributos HTML que explicamos em mais detalhes abaixo.
A vulnerabilidade foi corrigida e as versões dos aplicativos vulneráveis foram desativadas e não podem mais ser usadas.
A versão 3.112.5 da aplicação introduziu a apresentação do assunto do correio no cabeçalho da aplicação. Isto foi feito através da definição de um título para um componente que apresenta essa secção da aplicação. O mesmo título é utilizado como um título ARIA de acessibilidade para essa vista através do atributo aria-label
. O código estava a utilizar as capacidades de hyperscript do mithril para adicionar atributos ARIA através de uma única cadeia de selecção. A cadeia de selecção foi criada de forma insegura, o que tornou possível manipular o selector e, por conseguinte, os atributos HTML, utilizando um assunto de correio electrónico especificamente criado.
A vulnerabilidade foi corrigida através da utilização de um objecto de atributos em vez de atributos de codificação num selector mithril.
Não temos conhecimento de qualquer incidente em que a vulnerabilidade tenha sido explorada.
Não é necessária qualquer acção da sua parte.
Sempre sublinhámos o facto de as ferramentas de código aberto serem mais seguras do que as aplicações de código fechado. O código dos clientes de código aberto pode ser inspeccionado pela comunidade de segurança para garantir que o código está livre de bugs, vulnerabilidades e backdoors.
Embora lamentável, a vulnerabilidade que descrevemos acima mostra que isso é realmente verdade. Embora o código-fonte fechado possa ter problemas semelhantes, os utilizadores podem nunca vir a saber disso.
Estamos satisfeitos por os especialistas em segurança, bem como os nossos utilizadores, estarem a analisar o nosso código e a comunicar problemas.
Isso nos motiva a trabalhar ainda mais para melhorar o Tutanota!