Уязвимости в SecurMail позволяют читать чужие сообщения

Пользователям почтового сервиса SecurEnvoy SecurMail настоятельно рекомендуется установить последнее обновление, в противном случае злоумышленники могут расшифровать их зашифрованные электронные письма. Как сообщают исследователи из SEC Consult, сервис подвержен ряду уязвимостей, из-за которых он не выполняет обещанные функции по защите конфиденциальности.

В общей сложности исследователи обнаружили в SecurMail семь уязвимостей, в том числе уязвимость обхода каталога и небезопасные прямые ссылки на объект, позволяющие одним получателям читать электронные письма, отправленные другим получателям. Еще одна уязвимость связана с отсутствием механизмов аутентификации и авторизации и позволяет злоумышленникам перехватывать или модифицировать хранящиеся на сервере электронные письма, а также переписывать или удалять письма в папке «Входящие».

Исследователи обнаружили уязвимости за короткий промежуток времени и допускают возможность существования и других проблем с безопасностью, ускользнувших от их взгляда. Уязвимости были обнаружены во время проведения небольшого краш-теста, и эксперты рекомендуют воздержаться от использования сервиса до тех пор, пока не будет проведен комплексный аудит безопасности и приняты соответствующие меры. Если отказаться от использования сервиса не представляется возможным, рекомендуется установить патч 1_012018 для семи уязвимостей, обнаруженных SEC Consult, или обновиться до версии 9.2.501.

SecurMail – почтовое приложение от SecurEnvoy для настольных компьютеров и мобильных устройств, предлагающее двухфакторную аутентификацию получателей.

Источник