Vulnerabilidad XSS en el cliente de email de Tutanota parcheado

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El 22 de junio se nos informó sobre una vulnerabilidad de Cross-Site Scripting (XSS) en todos los clientes de Tutanota. Inmediatamente comenzamos a trabajar en una solución, que se publicó dos días después. Ahora, todas las versiones afectadas de Tutanota se han deshabilitado y nos gustaría informarle sobre el problema para una total transparencia.

¿Qué sucedió?

El 22 de junio de 2022 recibimos un aviso de seguridad de Paul Gerste, Sonar, informándonos de una vulnerabilidad de secuencias de comandos entre sitios (XSS) en Tutanota que afectó a todos los clientes, y una vulnerabilidad de ejecución remota de código (RCE) que afectó solo a los clientes de escritorio. Ambas vulnerabilidades se solucionaron de inmediato y se lanzó un parche en la versión 3.98.1 el 24 de junio de 2022.

La vulnerabilidad XSS permitió a un atacante extraer información de Tutanota mediante la elaboración de un correo electrónico malicioso que podría eludir nuestra desinfección, lo que provocó que se inyectara un código JavaScript extranjero en la aplicación y se ejecutara. La vulnerabilidad RCE permitió a un atacante ejecutar programas en el sistema de un usuario a través del cliente de escritorio (esto se demostró con Windows, pero puede haber sido posible en otros sistemas operativos), en los que aprovecha el XSS y lo usa para descargar y ejecutar un archivo adjunto malicioso.

¿Qué acciones hemos tomado?

Dos días después de haber sido informados sobre las vulnerabilidades, hemos lanzado un parche en la versión 3.98.1 que antepone la llamada a urlify a la sanitización, solucionando el problema inmediato del XSS.

Además, hemos implementado cambios para fortalecer la seguridad de la aplicación, que en su mayoría ya se lanzaron o se lanzarán con la próxima actualización:

    Usar un DOM en la sombra para representar los cuerpos de los correos, asegurando que cualquier estilo que de alguna manera sobreviva a la limpieza no se filtre al resto de la aplicación.

    Manejo del caso extremo con looksExecutable

    Mejorar CSP en electron y restringir a qué archivos se puede acceder

    Aleatorizar el nombre del directorio temporal, para garantizar que un atacante no pueda predecir las ubicaciones de los archivos adjuntos

Tenga en cuenta que un refuerzo adicional de la seguridad en una próxima versión requerirá que se eliminen los índices de búsqueda locales en los clientes de escritorio y las aplicaciones móviles. Este índice se vuelve a crear automáticamente con su próxima búsqueda.
Clientes afectados deshabilitados

Todos los clientes afectados han sido deshabilitados. No tenemos conocimiento de ningún incidente en el que un atacante malicioso se haya aprovechado de estas vulnerabilidades.

No es necesario cambiar su contraseña o código de recuperación.

Transparencia y seguridad

En Tutanota creemos que la transparencia y la seguridad están íntimamente relacionadas. Por eso creemos que es importante que le informemos sobre esta vulnerabilidad corregida, también por correo electrónico.

Para evitar problemas similares en el futuro, hemos tomado las siguientes medidas:

    Implementamos varias mejoras técnicas en Tutanota que evitan la explotación en el improbable caso de futuras vulnerabilidades XSS.

    Agregamos pruebas de regresión para estas mejoras a nuestras pautas de revisión de seguridad interna.

    Hicimos hincapié en las revisiones de seguridad de los cambios en el manejo del contenido del usuario como parte de nuestro proceso normal de revisión de código.

Open Source aumenta el nivel de seguridad

Siempre hemos destacado el hecho de que las herramientas de código abierto son más seguras que las aplicaciones de código cerrado. La comunidad de seguridad puede inspeccionar el código de los clientes de código abierto para asegurarse de que el código esté libre de errores, vulnerabilidades y puertas traseras.

Aunque lamentable, las vulnerabilidades encontradas por Sonar demuestran que esto es realmente cierto. Si bien el código fuente cerrado puede tener problemas similares, es posible que los usuarios nunca se enteren de esto.

Nos gustaría agradecer a Sonar por revelar responsablemente la vulnerabilidad de secuencias de comandos entre sitios en Tutanota 3.98.0.

Todos los problemas informados estaban sujetos a un plazo de divulgación de 90 días, luego de lo cual Sonar dijo que haría públicas partes del problema. Estamos contentos de haber podido solucionar los problemas abordados mucho más rápido, de hecho, en dos días.

En nuestra comunicación por correo electrónico con Sonar, el investigador de vulnerabilidades Paul Gerste incluso dijo: "¡Felicitaciones a usted y a su equipo, parece que se toma en serio la seguridad de su producto!"

Estamos muy contentos con estos comentarios de un experto en seguridad. ¡Nos motiva a trabajar aún más para mejorar Tutanota!

Fuente:
Tutanota Email Blog
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta