Les utilisateurs d'AirMail 3 pour macOS sont avertis de quatre exploits possibles. L'un d'eux pourrait être déclenché simplement en ouvrant un e-mail. Jusqu'à ce que ces problèmes soient résolus, les gens sont encouragés à ne pas utiliser le logiciel.
Découvert pour la première fois par VerSprite, le premier exploit peut arriver dans un e-mail contenant un lien contenant une demande d'URL. Cela, à son tour, pourrait utiliser une fonction «envoyer du courrier» pour renvoyer un e-mail à l'insu de l'utilisateur.
Dans le cadre de sa découverte, les chercheurs de VerSprite ont également trouvé du code dans AirMail 3 qui oblige le client à joindre automatiquement des fichiers à un courrier sortant. Cela pourrait permettre à quelqu'un de recevoir des e-mails et des pièces jointes à l'insu de l'utilisateur.
Une troisième vulnérabilité AirMail 3, appelée «liste noire incomplète» des éléments du propriétaire du cadre HMTM, pourrait permettre à quelqu'un d'utiliser les instances de Webkit Frame pour être ouvertes par courrier électronique.
Enfin, une quatrième vulnérabilité pourrait s'activer simplement en ouvrant un e-mail, ne nécessitant ainsi aucun clic pour commencer. Dans certaines situations, le filtre de navigation EventHandler peut être contourné, permettre à un élément HTML intégré de s'ouvrir sans aucune intervention de l'utilisateur.
Selon AppleInsider, la poste aérienne a envoyé un correctif «probablement aujourd'hui». Cependant, elle a également déclaré que l'impact potentiel de l'exploit est «très hypothétique», notant qu'aucun utilisateur n'a signalé de problème..
Pendant ce temps, le chercheur Fabius Watson fait une suggestion simple aux utilisateurs d'AirMail: «J'éviterais d'utiliser Airmail 3 jusqu'à ce que cela soit résolu.»
AirMail 3 est disponible sur macOS et iOS. Les failles n'ont été découvertes que sur la version Mac du logiciel.
Nous continuerons de suivre cette histoire et de fournir des mises à jour selon les besoins.