8 (800) 707-46-28
Бесплатный звонок из регионов

Хостинг шифрованной почты Tutanota закрыл уязвимость XSS

Главная / Архив новостей / Атака межсайтового скриптинга на хостинг шифрованной почты Tutanota
Атака межсайтового скриптинга на хостинг шифрованной почты Tutanota

В немецком сервисе шифрованной электронной почты Tutanota была обнаружена XSS-уязвимость. Эксплуатация уязвимости позволяла осуществить успешную XSS-атаку и внедрить произвольный код JavaScript в браузер жертвы. Брешь была обнаружена соотечественником сервиса Tutanota немцем Томасом Ротом (Thoms Roth), экспертом по информационной безопасности, который решил исследовать почтовый хостинг, позиционирующий себя как "АНБ-непроницаемый". Название Tutanota происходит от латинских слов "tuta" – зашифрованный, безопасный и "nota" - сообщение.

Шифрация и дещифрация сообщений в Tutanota осуществляются так же, как и в других подобных сервисах, только в почтовом клиенте отправителя и получателя. Шифровальные ключи хранятся также у пользователей, а не у оператора хостинга почты. Через почтовый сервер провайдера и далее по открытому интернету сообщение путешествует полностью зашифрованным. Сервис предлагает услуги в бесплатном (почтовый ящик объёмом до 1 Гб) и платном вариантах с криптографическим плагином для Outlook.

Уязвимость была найдена Ротом в течение минуты с начала проверки. К чести почтового ресурса уязвимость была оперативно устранена. Не скрывая от своих пользователей наличия бреши, сервис Tutanota сообщил о её наличии и в тот же день произвёл исправление кода. "При пересылке сообщений существовала возможность провести атаку межсайтового скриптинга. Сейчас проблема уже устранена" - уведомил сервис Tutanota.



При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

1912 просмотров