Страницы: 1
RSS
mailsploit.com, The Bat! уязвим и не только он.
 
Этой теме здесь не место, но подходящего раздела я не вижу (хотя раньше их было больше, но куда-то подевались). Не хочу писать тикет, я хотел бы получить ответ именно разработчика и ответ публичный.
Сегодня, наконец, на стр. https://www.mailsploit.com/index#demo я запросил All of them и могу подтвердить, что в когорте уязвимых вендоров можно упомянуть и Ritlabs.
Ничего особо фатального (есть же Ctrl-Shift-K) не вижу в этой уязвимости, но хотелось бы иметь безопасный клиент. Думаю, что вендору стоило бы оскорбиться, что его не включили в список и исправить это недоразумение.
https://xakep.ru/2017/12/06/mailsploit/
 

Разработчики The Bat! оперативно отреагировали на сообщения о «Mailsploit» - недавно обнаруженном комплексе уязвимостей в почтовых программах. Используя специально созданные данные в заголовках писем, злоумышленники могли фальсифицировать электронные адреса отправителей писем.

Для решения проблем с «Mailsploit» мы внедрили в The Bat! v8.2 новый декодер заголовков писем, учитывающий текущий контекст. Кроме того, мы встроили следующие проверки имени отправителя: если содержится символ «@» или любой управляющий символ (например, «возврат каретки», «перевод строки» или символ с нулевым кодом), то такая часть имени не учитывается, и пользователь видит реальный электронной адрес отправителя, а не сфабрикованный, который злоумышленник замаскировал в части имени отправителя.

В результате устранения уязвимостей «Mailsploit», в The Bat! v8.2 изменился формат индексных файлов базы писем. Таким образом, предыдущие версии программы не смогут корректно отображать в списке писем поля отправителей и получателей для тех писем, которые получены в новой версии. Соответственно, пользователи не смогут запускать разные версии The Bat! для работы с одной и той же почтовой базой.

В этой версии программы мы также улучшили редактор HTML, улучшили работу адресных книг CardDAV, оптимизировали многопоточный механизм совместной работы с данными для многоядерных процессоров и улучшили работу программы на современных процессорах, поддерживающих инструкции AVX-512.

 
Maxim Masiutin, не по этой теме, но верните протокол EWS в рабочее состояние (как было в 7 версии). В 8.х пользоваться невозможно.
Страницы: 1