Уразливості в корпоративному поштовому клієнті Zimbra можуть дозволити зловмиснику отримати необмежений доступ до відправлених і отриманих повідомлень електронної пошти організації. За словами фахівців з компанії SonarSource, експлуатація проблем дозволяє неавторизованому зловмиснику зламати поштовий сервер організації і отримати доступ до всіх повідомлень електронної пошти співробітників.
Перша проблема (CVE-2021-35208) являє собою уразливість міжсайтового виконання сценаріїв (XSS) на основі програмного інтерфейсу DOM. Уразливість може бути використана, коли жертва переглядає вхідний лист із спеціальним JavaScript-кодом.
Zimbra – це програмний пакет для спільної роботи, який включає сервер електронної пошти та веб-клієнт.
Також була виявлена уразливість підробки запитів на стороні сервера (CVE-2021-35209). Зловмисник може проексплуатувати обидві уразливості і викрасти токени і облікові дані користувачів.
Zimbra перевіряє HTML-контент у вхідних повідомленнях електронної пошти на стороні сервера, використовуючи OWASP Java-HTML-Sanitizer, що є правильним підходом. Однак це і пов’язано з виникненням першої уразливості. Три поштових клієнта Zimbra (версія клієнта для ПК, web-клієнт і оптимізовані для мобільних пристроїв клієнти) можуть згодом перетворити довірений HTML-код електронного листа і призвести до його пошкодження, відкриваючи двері для XSS-атак.
Уразливість SSRF була виявлена в інтеграції Webex, підтримуваної Zimbra. Проблема пов’язана з проксі-сервером, який пересилає всі заголовки і параметри HTTP-запитів на URL-адреси, відповідні шаблоном * .webex.com.
Обидві уразливості були виправлені в кінці червня з випуском версій Zimbra 9.0.0 P16 і 8.8.15 P23.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ
Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ
Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ
Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ
До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.
Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.
Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.
Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена на продаж в Darknet.
Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.
