Thunderbird waarschuwt voor lek dat datadiefstal via e-mail mogelijk maakt
De ontwikkelaars van de populaire e-mailclient Thunderbird waarschuwen voor een kwetsbaarheid waardoor aanvallers gevoelige informatie kunnen stelen, zoals de inhoud van e-mails. Gebruikers worden opgeroepen om de beschikbaar gestelde update zo snel mogelijk te installeren. Het komt zelden voor dat Thunderbird een dergelijke waarschuwing aan gebruikers geeft.
Het lekken van gevoelige informatie (CVE-2022-3033) is volgens Thunderbird mogelijk wanneer gebruikers op een speciaal geprepareerde html-mail reageren, ook wanneer de e-mailclient staat ingesteld om remote content te blokkeren. Bij het antwoord op een dergelijke e-mail kan er JavaScript in de context van opgestelde berichten worden uitgevoerd.
Zo zou een aanvaller verschillende acties kunnen uitvoeren, waaronder het lezen of aanpassen van de inhoud van het bericht. Het zou hierbij om ontsleutelde tekst van een versleutelde mail kunnen gaan. Daarbij zou de inhoud vervolgens naar een opgegeven server kunnen worden verstuurd. Het probleem doet zich niet voor bij gebruikers die voor de weergave van berichten "plain text" of "simple html" gebruiken. Alle gebruikers worden aangeraden om te updaten naar Thunderbird 102.2.1
Maar ja het moet er allemaal leuk uitzien.
Het is niet altijd alleen maar voor leuk uit te laten zien.
Soms is het gewoon handig om een plaatje te embedden tussen de tekst als je iemand iets wat complex is aan het uitleggen bent via de mail.
Het is niet altijd alleen maar voor leuk uit te laten zien.
Soms is het gewoon handig om een plaatje te embedden tussen de tekst als je iemand iets wat complex is aan het uitleggen bent via de mail.
Hmm omschrijving volgens de RFC..
General Description
At the most basic level, a message is a series of characters. A
message that is conformant with this standard is comprised of
characters with values in the range 1 through 127 and interpreted as
US-ASCII characters [ASCII]. For brevity, this document sometimes
refers to this range of characters as simply "US-ASCII characters".
Note: This standard specifies that messages are made up of characters
in the US-ASCII range of 1 through 127. There are other documents,
specifically the MIME document series [RFC2045, RFC2046, RFC2047,
RFC2048, RFC2049], that extend this standard to allow for values
outside of that range. Discussion of those mechanisms is not within
the scope of this standard.
Messages are divided into lines of characters. A line is a series of
characters that is delimited with the two characters carriage-return
and line-feed; that is, the carriage return (CR) character (ASCII
value 13) followed immediately by the line feed (LF) character (ASCII
value 10). (The carriage-return/line-feed pair is usually written in
this document as "CRLF".)
A message consists of header fields (collectively called "the header
of the message") followed, optionally, by a body. The header is a
sequence of lines of characters with special syntax as defined in
this standard. The body is simply a sequence of characters that
follows the header and is separated from the header by an empty line
(i.e., a line with nothing preceding the CRLF).
Platte tekst dus niet geen marketing meuk ;-)
Maar ja het moet er allemaal leuk uitzien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
