Как разработчики допустили существование в своём продукте трёх уязвимостей одновременно?
Исследователи в области безопасности из компании SonarSource раскрыли уязвимости в программном обеспечении веб-почты Roundcube, которые могут быть использованы для выполнения вредоносного JavaScript-кода в браузере жертвы и кражи конфиденциальной информации из её аккаунта при определённых условиях.
Специалисты сообщили, что при просмотре пользователем вредоносного письма в Roundcube, отправленного атакующим, почтовый клиент автоматически выполняет зловредный JavaScript-код в браузере. Это позволяет злоумышленникам красть письма, контакты и пароли электронной почты, а также отправлять письма от имени жертвы.
После ответственного раскрытия информации 18 июня 2024 года, уязвимости были устранены в версиях Roundcube 1.6.8 и 1.5.8, выпущенных 4 августа 2024 года.
Список уязвимостей включает:
Успешная эксплуатация этих уязвимостей позволяет неавторизованным атакующим красть письма и контакты, а также отправлять письма от имени жертвы после просмотра специально подготовленного письма в Roundcube.
Исследователь безопасности Оскар Зейно-Махмалат отметил, что атакующие могут получить устойчивый доступ к браузеру пользователя даже после перезапусков, что позволяет им непрерывно выводить письма или красть пароль жертвы при следующем его вводе.
Для успешной атаки через эксплуатацию уязвимости CVE-2024-42009 со стороны пользователя не требуется никаких действий, кроме просмотра письма от атакующего. В свою очередь, для уязвимости CVE-2024-42008 требуется один клик со стороны жертвы, но злоумышленник может сделать это взаимодействие незаметным.
Дополнительные технические детали пока что намеренно не были раскрыты, чтобы дать пользователям время обновиться до последней версии. Уязвимости веб-почты неоднократно использовались государственными хакерами, такими как APT28, Winter Vivern и TAG-70, поэтому тянуть с обновлением действительно не стоит.
Никаких овечек — только отборные научные факты