AirMail 3 pentru utilizatorii de macOS sunt avertizați despre patru exploatări posibile. Unul dintre acestea ar putea fi declanșat doar prin deschiderea unui e-mail. Până la rezolvarea acestor probleme, oamenii sunt încurajați să nu folosească software-ul.
Descoperită prima dată de VerSprite, primul exploit poate ajunge într-un e-mail care include un link care conține o solicitare URL. Acesta, la rândul său, ar putea folosi o funcție de „trimitere mail” pentru a trimite un e-mail înapoi fără știrea utilizatorului.
Ca parte a descoperirii sale, cercetătorii VerSprite au găsit, de asemenea, codul în AirMail 3 care face ca clientul să atașeze automat fișierele la un mail de ieșire. Aceasta ar putea permite cuiva să primească e-mailuri și atașamente fără a ști un utilizator.
O a treia vulnerabilitate AirMail 3, numită „listă neagră incompletă” a elementelor proprietarului de cadre HMTM, ar putea permite cuiva să folosească instanțele Webkit Frame pentru a fi deschise prin e-mail.
În cele din urmă, oa patra vulnerabilitate ar putea activa doar prin deschiderea unui e-mail, necesitând astfel niciun clic pentru a începe. În unele situații, filtrul de navigare EventHandler ar putea fi ocolit, permitând deschiderea unui element HTML încorporat fără intervenția utilizatorului.
Potrivit AppleInsider, Airmail a trimis o rezolvare „probabil astăzi”. Cu toate acestea, acesta a mai spus că impactul potențial al exploitului este „foarte ipotetic”, menționând că niciun utilizator nu a raportat o problemă..
Între timp, cercetătorul Fabius Watson are o simplă sugestie pentru utilizatorii AirMail: „Aș evita să folosesc Airmail 3 până când acest lucru nu este rezolvat.”
AirMail 3 este disponibil pe macOS și iOS. Defectele au fost descoperite doar pe versiunea Mac a software-ului.
Vom continua această poveste și vom oferi actualizări, după cum este necesar.