Хакер #305. Многошаговые SQL-инъекции
С релизом Thunderbird 52.9 разработчики исправили в популярном почтовом клиенте более десятка уязвимостей, включая проблему Efail, обнаруженную в мае 2018 года.
Напомню, что в мае группа из девяти европейских ученых, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME.
Как оказалось, с самими технологиями и криптографией все в порядке, а найденные проблемы кроются в имплементациях и окружающей экосистеме. В частности, уязвимыми были признаны почтовые клиенты (Thunderbird, Outlook, Apple Mail) и PGP-плагины для них (Enigmail, Gpg4win и GPG Tools, соответственно).
Для эксплуатации уязвимостей атакующему сначала нужно получить доступ к переписке своей жертвы, то есть предварительно произвести атаку на почтовый сервер, взломать чужую почту или перехватить трафик посредством атаки man-in-the-middle.
В сущности, атака на Efail подразумевает, что злоумышленник, заполучивший в свое распоряжение зашифрованные письма, оснастит их HTML-тегами и хитростью заставит оригинального отправителя (или одного из реципиентов) открыть ставшее вредоносным послание. Эксплуатация проблем тесно сопряжена с тем, как почтовые клиенты и их плагины обрабатывают HTML и ссылки на внешние источники, к примеру, изображения и стили, подгружаемые с внешних URL.
Еще в мае разработчики Thunderbird сообщали о готовности патча, который обещали выпустить по завершении бета-тестирования. Теперь, спустя почти два месяца, исправления готовы и опубликованы в составе Thunderbird 52.9.
Патчей против Efail сразу два: патч для CVE-2018-12372 помешает атакующему обойти шифрование S/MIME и PGP посредством манипуляций с HTML-сообщениями, и патч для CVE-2018-12373 устранил уязвимость, из-за которой S/MIME контент мог «утечь» в формате простого текста после пересылки письма.
Но исправления для Efail – не единственные важные патчи, вошедшие в этот релиз. К примеру, критическая уязвимость CVE-2018-12359 сопряжена с переполнением буфера, которое может провоцировать «падение» Thunderbird; еще одна критическая проблема CVE-2018-12360, в свою очередь, представляла собой use-after-free уязвимость, так же ведущую к опасному «падению».