Новости Roundcube Webmail: случайный клик по письму открывает хакерам путь к вашим данным

NewsMaker

I'm just a script
Премиум
13,885
20
8 Ноя 2022
Как разработчики допустили существование в своём продукте трёх уязвимостей одновременно?


tfulgkg5as2ce918e3hbkni5ytqyvgsa.jpg


Исследователи в области безопасности из компании SonarSource Для просмотра ссылки Войди или Зарегистрируйся уязвимости в программном обеспечении веб-почты Roundcube, которые могут быть использованы для выполнения вредоносного JavaScript -кода в браузере жертвы и кражи конфиденциальной информации из её аккаунта при определённых условиях.

Специалисты сообщили, что при просмотре пользователем вредоносного письма в Roundcube, отправленного атакующим, почтовый клиент автоматически выполняет зловредный JavaScript-код в браузере. Это позволяет злоумышленникам красть письма, контакты и пароли электронной почты, а также отправлять письма от имени жертвы.

После ответственного раскрытия информации 18 июня 2024 года, уязвимости были устранены в версиях Roundcube 1.6.8 и 1.5.8, выпущенных 4 августа 2024 года.

Список уязвимостей включает:

  • Для просмотра ссылки Войди или Зарегистрируйся — уязвимость межсайтового скриптинга через вредоносное вложение с опасным заголовком Content-Type;
  • Для просмотра ссылки Войди или Зарегистрируйся — уязвимость межсайтового скриптинга, возникающая при постобработке очищенного HTML-контента;
  • Для просмотра ссылки Войди или Зарегистрируйся — уязвимость раскрытия информации из-за недостаточной фильтрации CSS.
Успешная эксплуатация этих уязвимостей позволяет неавторизованным атакующим красть письма и контакты, а также отправлять письма от имени жертвы после просмотра специально подготовленного письма в Roundcube.

Исследователь безопасности Оскар Зейно-Махмалат отметил, что атакующие могут получить устойчивый доступ к браузеру пользователя даже после перезапусков, что позволяет им непрерывно выводить письма или красть пароль жертвы при следующем его вводе.

Для успешной атаки через эксплуатацию уязвимости CVE-2024-42009 со стороны пользователя не требуется никаких действий, кроме просмотра письма от атакующего. В свою очередь, для уязвимости CVE-2024-42008 требуется один клик со стороны жертвы, но злоумышленник может сделать это взаимодействие незаметным.

Дополнительные технические детали пока что намеренно не были раскрыты, чтобы дать пользователям время обновиться до последней версии. Уязвимости веб-почты неоднократно использовались государственными хакерами, такими как APT28, Winter Vivern и TAG-70, поэтому тянуть с обновлением действительно не стоит.
 
Источник новости
www.securitylab.ru

Похожие темы