Раскрытие уязвимостей

Мы устранили уязвимость в течение одного дня после получения уведомления.

Focus on security: Fixed vulnerability within two days.

3 апреля была выпущена уязвимая версия Tutanota. Через три дня один из наших пользователей сообщил нам об этой проблеме, и мы немедленно ее исправили. Теперь все уязвимые версии Tutanota отключены, и мы хотели бы проинформировать вас об этой проблеме для полной прозрачности.


Все приложения Tutanota (веб, десктоп, Android, iOS) версии 3.112.5 были уязвимы к инъекции атрибутов HTML, о которой мы подробно рассказываем ниже.

Уязвимость устранена, а уязвимые версии приложений были отключены и больше не могут быть использованы.

Подробности уязвимости

В версии приложения 3.112.5 было введено отображение темы письма в заголовке приложения. Это было сделано путем задания заголовка для компонента, отображающего данный раздел приложения. Этот же заголовок используется в качестве ARIA-заголовка доступности для этого представления через атрибут aria-label. Код использовал возможности гиперскрипта mithril для добавления атрибутов ARIA с помощью одной строки селектора. Строка селектора была создана небезопасным способом, что позволяло манипулировать селектором и, следовательно, атрибутами HTML с помощью специально созданной темы письма.

Уязвимость была устранена путем использования объекта атрибутов вместо кодирования атрибутов в селекторе mithril.

Влияние

Нам не известно ни об одном инциденте, в котором была бы использована данная уязвимость.

Никаких действий с вашей стороны не требуется.

Временная шкала

  • 03-04-2023 Выпущена уязвимая версия
  • 06-04-2023 Получены сообщения о почте, уязвимость исправлена, выпущена исправленная версия
  • 09-05-2023 Уязвимая версия помечена как устаревшая
  • 25-05-2023 Уязвимая версия отключена

Открытый исходный код повышает уровень безопасности

Мы всегда подчеркивали тот факт, что инструменты с открытым исходным кодом более безопасны, чем приложения с закрытым исходным кодом. Код клиентов с открытым исходным кодом может быть проверен сообществом безопасности, чтобы убедиться, что в нем нет ошибок, уязвимостей и бэкдоров.

К сожалению, описанная выше уязвимость показывает, что это действительно так. Хотя код с закрытым исходным кодом может иметь подобные проблемы, пользователи могут никогда об этом не узнать.

Мы рады, что эксперты по безопасности, а также наши пользователи изучают наш код и сообщают о проблемах.

Это мотивирует нас еще больше работать над улучшением Tutanota!