В «АНБ-непроницаемом» сервисе электронной почты обнаружена XSS-уязвимость

image

Теги: уязвимость, XSS, электронная почта

Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы.

ИБ-эксперт из Германии Томас Рот (Thomas Roth) обнаружил уязвимость в сервисе электронной почты Tutanota, который позиционирует себя как «АНБ-непроницаемый». Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы. Ранее такая же уязвимость была обнаружена Ротом в сервисе ProtonMail.

Шифрование и расшифровка сообщений в Tutanota так же, как и в ProtonMail, осуществляются в браузере, и ключи шифрования хранятся у пользователей, а не у провайдеров. Сервис Tutanota подтвердил наличие XSS-уязвимости и исправил ее.

«При пересылке сообщений существовала возможность провести атаку межсайтового скриптинга. Сейчас проблема уже устранена, - говорится в уведомлении Tutanota. – Атака осуществлялась следующим образом: при пересылке письма код встраивался в тело сообщения. Теоретически это позволяло атакующему манипулировать им, отправляя письмо на адрес в Tutanota. Далее он мог обманом заставить жертву переслать сообщение, после чего у злоумышленника появлялась возможность выполнить код JavaScript в контексте web-приложения».

На прошлой неделе, еще до того, как Рот сообщил об уязвимости, представители Tutanota заявили изданию The Register, что провели тестирование, в ходе которого была осуществлена XSS-атака. Тем не менее, тестирование не помогло обнаружить проблему.

«Атака межсайтового скриптинга была предотвращена с помощью преобразователя данных, который фильтрует встроенные скрипты в электронных письмах, пересылаемых через Tutanota. Этот преобразователь активен с момента запуска сервиса. В ходе тестирования атака была осуществлена, однако уязвимость обнаружить не удалось», - заявили представители Tutanota.

Как бы то ни было, Рот обнаружил брешь всего лишь через минуту с момента начала исследования. Уязвимость была исправлена экспертами Tutanota в тот же день, когда исследователь сообщил о ней. 


или введите имя

CAPTCHA
17-07-2014 08:19:26
Беспроигрышный это всё-таки бизнес – на больших и сильных тявкать. Тявкающая на слона моська неизбежно признаётся всеми сильной, а попытка слона её пнуть приводит всегда к удару по имиджу слона, улучшению кармы моськи, и защиты моськи всем миром, при этом фактическая правота слона и фактическая сила моськи значения не имеют. Слон плох уже тем, что сильнее моськи; моська хороша уже тем, что брешет. Ну а дальше все просто: выбираем слона покрупнее и поспокойнее, чтобы ненароком и впрямь не пнул (АНБ, Microsoft, США вполне годятся), начинаем брехать, стрижём купоны. Вот только главное, пока брешем, белого света не видя, не оступиться и в канаву с нечистотами не упасть, а то конфуз выйдет... на слона-то падение это свалить не удастся.
0 |