Ga naar inhoud

Kritieke kwetsbaarheden in webmail Proton Mail, Skiff en Tutanota gevonden

Captain Kirk
 Delen

Aanbevolen berichten

Captain Kirk Grootmeester

Captain Kirk

Geplaatst:
Geplaatst:

Onderzoekers hebben kritieke kwetsbaarheden in de webmail van de op privacy gericht mailproviders Proton Mail, Skiff en Tutanota gevonden waardoor het mogelijk was om e-mails van gebruikers te stelen en zich als slachtoffers voor te doen. In het geval van Skiff en Tutanota Desktop was het zelfs mogelijk om willekeurige code op de computers van slachtoffers uit te voeren als die een malafide mail openden. Dat meldt securitybedrijf Sonar dat de problemen ontdekte en rapporteerde.

In een eerste artikel over de kwetsbaarheden gaat het om cross-site scripting in Proton Mail, waardoor een aanvaller onversleutelde e-mail van slachtoffers kon stelen en zich als hen kon voordoen. Een aanvaller zou in dit geval twee e-mails hebben moeten versturen die het slachtoffer moest openen. Proton Mail gebruikt de HTML sanitizer DOMPurify om cross-site scripting tijdens het weergeven van e-mails te voorkomen en heeft ook verdere maatregelen genomen in het geval de sanitizer zijn werk niet doet.

De onderzoekers ontdekten een manier om de sanitizer te omzeilen en willekeurige elementen in verstuurde e-mails te gebruiken. Proton Mail blijkt daarnaast willekeurige content types en content voor inline bijlagen toe te staan. Dit maakt het mogelijk voor een aanvaller om een JavaScript-bijlage te versturen en daar via een img element naar te verwijzen. De e-maildienst gebruikt zogeheten blob URL's voor het weergeven van inline bijlagen, zoals afbeeldingen.

Een aanvaller zou hier misbruik van kunnen maken door als eerste een e-mail met malafide JavaScript te versturen. Via deze mail zou het daarnaast mogelijk zijn om de blob URL te achterhalen. Vervolgens zou de aanvaller een tweede mail sturen waarbij de sanitizer wordt omzeild en via een script-element de eerder verstuurde JavaScript wordt uitgevoerd. Daarmee zijn e-mails van het slachtoffer te stelen en is het mogelijk om mail als het slachtoffer te versturen. Proton Mail werd op 3 juni ingelicht. Op 6 juli werd de update om het probleem te verhelpen uitgerold. De onderzoekers ontvingen voor hun bugmelding een bedrag van 750 dollar.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.