html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

В Thunderbird 52.9 устранены критические уязвимости, включая проблему Efail

С релизом Thunderbird 52.9 разработчики исправили в популярном почтовом клиенте более десятка уязвимостей, включая проблему Efail, обнаруженную в мае 2018 года.

Напомню, что в мае группа из девяти европейских ученых, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME.

Как оказалось, с самими технологиями и криптографией все в порядке, а найденные проблемы кроются в имплементациях и окружающей экосистеме. В частности, уязвимыми были признаны почтовые клиенты (Thunderbird, Outlook, Apple Mail) и PGP-плагины для них (Enigmail, Gpg4win и GPG Tools, соответственно).

Для эксплуатации уязвимостей атакующему сначала нужно получить доступ к переписке своей жертвы, то есть предварительно произвести атаку на почтовый сервер, взломать чужую почту или перехватить трафик посредством атаки man-in-the-middle.

В сущности, атака на Efail подразумевает, что злоумышленник, заполучивший в свое распоряжение зашифрованные письма, оснастит их HTML-тегами и хитростью заставит оригинального отправителя (или одного из реципиентов) открыть ставшее вредоносным послание. Эксплуатация проблем тесно сопряжена с тем, как почтовые клиенты и их плагины обрабатывают HTML и ссылки на внешние источники, к примеру, изображения и стили, подгружаемые с внешних URL.

Еще в мае разработчики Thunderbird сообщали о готовности патча, который обещали выпустить по завершении бета-тестирования. Теперь, спустя почти два месяца, исправления готовы и опубликованы в составе Thunderbird 52.9.

Патчей против Efail сразу два: патч для CVE-2018-12372 помешает атакующему обойти шифрование S/MIME и PGP посредством манипуляций с HTML-сообщениями, и патч для CVE-2018-12373 устранил уязвимость, из-за которой S/MIME контент мог «утечь» в формате простого текста после пересылки письма.

Но исправления для Efail – не единственные важные патчи, вошедшие в этот релиз. К примеру, критическая уязвимость CVE-2018-12359 сопряжена с переполнением буфера, которое может провоцировать «падение» Thunderbird; еще одна критическая проблема CVE-2018-12360, в свою очередь, представляла собой use-after-free уязвимость, так же ведущую к опасному «падению».

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • apple
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции