Как разработчики допустили существование в своём продукте трёх уязвимостей одновременно?
Исследователи в области безопасности из компании SonarSource Для просмотра ссылки Войдиили Зарегистрируйся уязвимости в программном обеспечении веб-почты Roundcube, которые могут быть использованы для выполнения вредоносного JavaScript -кода в браузере жертвы и кражи конфиденциальной информации из её аккаунта при определённых условиях.
Специалисты сообщили, что при просмотре пользователем вредоносного письма в Roundcube, отправленного атакующим, почтовый клиент автоматически выполняет зловредный JavaScript-код в браузере. Это позволяет злоумышленникам красть письма, контакты и пароли электронной почты, а также отправлять письма от имени жертвы.
После ответственного раскрытия информации 18 июня 2024 года, уязвимости были устранены в версиях Roundcube 1.6.8 и 1.5.8, выпущенных 4 августа 2024 года.
Список уязвимостей включает:
Исследователь безопасности Оскар Зейно-Махмалат отметил, что атакующие могут получить устойчивый доступ к браузеру пользователя даже после перезапусков, что позволяет им непрерывно выводить письма или красть пароль жертвы при следующем его вводе.
Для успешной атаки через эксплуатацию уязвимости CVE-2024-42009 со стороны пользователя не требуется никаких действий, кроме просмотра письма от атакующего. В свою очередь, для уязвимости CVE-2024-42008 требуется один клик со стороны жертвы, но злоумышленник может сделать это взаимодействие незаметным.
Дополнительные технические детали пока что намеренно не были раскрыты, чтобы дать пользователям время обновиться до последней версии. Уязвимости веб-почты неоднократно использовались государственными хакерами, такими как APT28, Winter Vivern и TAG-70, поэтому тянуть с обновлением действительно не стоит.
Исследователи в области безопасности из компании SonarSource Для просмотра ссылки Войди
Специалисты сообщили, что при просмотре пользователем вредоносного письма в Roundcube, отправленного атакующим, почтовый клиент автоматически выполняет зловредный JavaScript-код в браузере. Это позволяет злоумышленникам красть письма, контакты и пароли электронной почты, а также отправлять письма от имени жертвы.
После ответственного раскрытия информации 18 июня 2024 года, уязвимости были устранены в версиях Roundcube 1.6.8 и 1.5.8, выпущенных 4 августа 2024 года.
Список уязвимостей включает:
- Для просмотра ссылки Войди
или Зарегистрируйся — уязвимость межсайтового скриптинга через вредоносное вложение с опасным заголовком Content-Type; - Для просмотра ссылки Войди
или Зарегистрируйся — уязвимость межсайтового скриптинга, возникающая при постобработке очищенного HTML-контента; - Для просмотра ссылки Войди
или Зарегистрируйся — уязвимость раскрытия информации из-за недостаточной фильтрации CSS.
Исследователь безопасности Оскар Зейно-Махмалат отметил, что атакующие могут получить устойчивый доступ к браузеру пользователя даже после перезапусков, что позволяет им непрерывно выводить письма или красть пароль жертвы при следующем его вводе.
Для успешной атаки через эксплуатацию уязвимости CVE-2024-42009 со стороны пользователя не требуется никаких действий, кроме просмотра письма от атакующего. В свою очередь, для уязвимости CVE-2024-42008 требуется один клик со стороны жертвы, но злоумышленник может сделать это взаимодействие незаметным.
Дополнительные технические детали пока что намеренно не были раскрыты, чтобы дать пользователям время обновиться до последней версии. Уязвимости веб-почты неоднократно использовались государственными хакерами, такими как APT28, Winter Vivern и TAG-70, поэтому тянуть с обновлением действительно не стоит.
- Источник новости
- www.securitylab.ru