Connexion
Abonnez-vous

Mailsploit : Thunderbird 52.5.2 corrige un bug facilitant le phishing

Mailsploit : Thunderbird 52.5.2 corrige un bug facilitant le phishing

Le 08 janvier 2018 à 10h20

Fin novembre, le chercheur en sécurité Sabri Haddouche révélait Mailsploit, un bug d'affichage présent dans les clients e-mail les plus populaires. Il permettait de masquer la vraie adresse d'expédition, en paraissant valide auprès du serveur recevant le message (voir notre enquête).

L'annonce suivait trois mois de travail du chercheur, prévenant une trentaine d'équipes du problème. Si la plupart l'ont rapidement corrigé, d'autres ont fait la sourde oreille. C'était le cas de Thunderbird, qui refusait de corriger le bug, après une sollicitation privée d'Haddouche. La publication a fait changer l'équipe d'avis.

La version 52.5.2 du logiciel de messagerie, publiée le 22 décembre, modifie le traitement des informations de l'expéditeur. Tout est bien qui finit bien.

Le 08 janvier 2018 à 10h20

Commentaires (5)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’ai repéré un phishing de ce type bien avant Novembre dernier, je l’avais remonté (avec explications similaires à ce que disait M. Haddouche) au support G Suite pro qui n’a répondu que (en gros) “l’affichage du nom encodé en Unicode plutôt que la vraie adresse d’expédition est un comportement normal et voulu, ce n’est pas un bug et ça ne sera pas corrigé, dites à vos utilisateurs de faire plus attention aux mails qu’ils reçoivent”.



Je me demande si ils ont changé d’avis entre-temps.

 

EDIT: Je vois dans l’article précédent que oui, tant mieux.

votre avatar

Je suis heureux de constater qu’ils ont fait machine arrière <img data-src=" />

votre avatar

Quelle était la justification pour ne prendre prendre en compte le problème ? La gravité d’une faille se joue donc sur le fait de la publier ou pas ? <img data-src=" />

votre avatar







Jarodd a écrit :



La gravité d’une faille se joue donc sur le fait de la publier ou pas ? <img data-src=" />





Bien évidemment. Tout comme un logiciel est bien plus sécurisé quand on n’a pas accès au code source. <img data-src=" />


votre avatar

C’est le bon vieux truc de la poussière sous le tapis en fait. Ça marche jusqu’à ce que le tapis soit usé ou qu’on doive se courber pour passer sous les portes.

Mailsploit : Thunderbird 52.5.2 corrige un bug facilitant le phishing

Fermer