Mailsploit : Thunderbird 52.5.2 corrige un bug facilitant le phishing
Le 08 janvier 2018 à 10h20
1 min
Logiciel
Fin novembre, le chercheur en sécurité Sabri Haddouche révélait Mailsploit, un bug d'affichage présent dans les clients e-mail les plus populaires. Il permettait de masquer la vraie adresse d'expédition, en paraissant valide auprès du serveur recevant le message (voir notre enquête).
L'annonce suivait trois mois de travail du chercheur, prévenant une trentaine d'équipes du problème. Si la plupart l'ont rapidement corrigé, d'autres ont fait la sourde oreille. C'était le cas de Thunderbird, qui refusait de corriger le bug, après une sollicitation privée d'Haddouche. La publication a fait changer l'équipe d'avis.
La version 52.5.2 du logiciel de messagerie, publiée le 22 décembre, modifie le traitement des informations de l'expéditeur. Tout est bien qui finit bien.
Le 08 janvier 2018 à 10h20
Commentaires (5)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/01/2018 à 12h19
#1
J’ai repéré un phishing de ce type bien avant Novembre dernier, je l’avais remonté (avec explications similaires à ce que disait M. Haddouche) au support G Suite pro qui n’a répondu que (en gros) “l’affichage du nom encodé en Unicode plutôt que la vraie adresse d’expédition est un comportement normal et voulu, ce n’est pas un bug et ça ne sera pas corrigé, dites à vos utilisateurs de faire plus attention aux mails qu’ils reçoivent”.
Je me demande si ils ont changé d’avis entre-temps.
EDIT: Je vois dans l’article précédent que oui, tant mieux.
Le 08/01/2018 à 12h58
#2
Je suis heureux de constater qu’ils ont fait machine arrière " />
Le 08/01/2018 à 18h16
#3
Quelle était la justification pour ne prendre prendre en compte le problème ? La gravité d’une faille se joue donc sur le fait de la publier ou pas ? " />
Le 08/01/2018 à 18h32
#4
Le 08/01/2018 à 21h24
#5
C’est le bon vieux truc de la poussière sous le tapis en fait. Ça marche jusqu’à ce que le tapis soit usé ou qu’on doive se courber pour passer sous les portes.