所有Tutanota应用程序(网页,桌面,Android,iOS)版本3.112.5有漏洞的HTML属性注入,我们在下面详细解释。
该漏洞已被修复,有漏洞的应用程序版本已被禁用,不能再使用。
漏洞的细节
3.112.5版本的应用程序引入了在应用程序的标题中显示邮件主题。这是通过为显示该应用程序部分的组件设置一个标题来实现的。同一标题通过aria-label
属性被用作该视图的可访问性ARIA标题。代码利用mithril的超脚本功能,通过一个选择器字符串添加ARIA属性。选择器字符串是以不安全的方式制作的,这使得有可能通过使用特别制作的电子邮件主题来操纵选择器,从而操纵HTML属性。
通过使用属性对象而不是在mithril选择器中编码属性,该漏洞被修复。
影响
我们没有发现有任何漏洞被利用的事件。
你不需要采取任何行动。
时间轴
- 03-04-2023 漏洞版本发布
- 06-04-2023 收到关于邮件的报告,漏洞被修补,修补后的版本被发布
- 09-05-2023 漏洞版本被标记为过期版本
- 2023年5月25日 漏洞版本被禁用
开放源码提高了安全水平
我们一直强调开放源码工具比封闭源码应用更安全的事实。开源客户端的代码可以被安全社区检查,以确保代码不存在错误、漏洞和后门。
虽然很不幸,但我们上面描述的漏洞表明,这实际上是真的。虽然封闭源代码可能有类似的问题,但用户可能永远不会发现这一点。
我们很高兴安全专家以及我们的用户都在关注我们的代码并报告问题。
这促使我们更加努力地改进Tutanota!