AirMail 3 per gli utenti macOS viene avvisato di quattro possibili exploit. Uno di questi potrebbe essere attivato semplicemente aprendo un'e-mail. Fino a quando questi problemi non saranno risolti, si incoraggiano le persone a non utilizzare il software.
Scoperto per la prima volta da VerSprite, il primo exploit può arrivare in un'e-mail che include un collegamento contenente una richiesta URL. Che, a sua volta, potrebbe utilizzare una funzione di "invio di posta" per inviare una e-mail a insaputa dell'utente.
Come parte della sua scoperta, i ricercatori di VerSprite hanno anche trovato il codice in AirMail 3 che rende automaticamente il client allegare i file a una posta in uscita. Ciò potrebbe consentire a qualcuno di ricevere e-mail e allegati all'insaputa dell'utente.
Una terza vulnerabilità di AirMail 3, chiamata "lista nera incompleta" di HMTM Frame Owner Elements, potrebbe consentire a qualcuno di utilizzare istanze di Webkit Frame da aprire tramite e-mail.
Infine, una quarta vulnerabilità potrebbe attivarsi semplicemente aprendo un'e-mail, quindi non è necessario fare clic per iniziare. In alcune situazioni, il filtro di navigazione EventHandler potrebbe essere bypassato, consentendo l'apertura di un elemento HTML incorporato senza l'intervento dell'utente.
Secondo AppleInsider, Airmail inviando una correzione "probabilmente oggi". Tuttavia, ha anche affermato che il potenziale impatto dell'exploit è "molto ipotetico", rilevando che nessun utente ha segnalato un problema.
Nel frattempo, il ricercatore Fabius Watson ha un semplice suggerimento per gli utenti di AirMail: "Eviterei di usare Airmail 3 fino a quando non verrà risolto."
AirMail 3 è disponibile su macOS e iOS. I difetti sono stati scoperti solo sulla versione Mac del software.
Continueremo a seguire questa storia e forniremo gli aggiornamenti garantiti.