Уязвимость Cross-Site-Authentication (XSA) в Enigmail
В Enigmail ― расширении безопасности для Mozilla Thunderbird, позволяющем использовать OpenPGP для работы с шифрованием и электронной подписью сообщений электронной почты — обнаружена проблема с безопасностью, которая потенциально может быть вектором для фишинговых атак.
Проблема заключается в некорректной работе с Web Key Directory (WKD), через запросы к которому можно получить ключи OpenPGP по веб-адресу вида:
https://example.org/.well-known/./openpgpkey/hu/[zbase32_sha1_hash_of_local_part]
Enigmail автоматически запрашивает ключи из WKD уже в момент написания письма, поэтому если написать нужный URL вместо адреса электронной почты адресата, то будет вызван HTTPS-запрос. После ответа сервера с кодом HTTP 401 — Enigmail/Thunderbird откроет окно входа (см. видео) c предложением ввести логин и пароль текущего пользователя.
Уязвимость была привнесена начиная с версии 2.0.7. Исправление будет включено в следующую стабильную версию 2.1 (на данный момент последняя стабильная версия — 2.0.8 от августа текущего года).
>>> Видео
>>> Подробности
