macOS版AirMail 3のユーザーの皆様には、4つの脆弱性について警告が出されています。そのうちの1つは、メールを開くだけで悪用される可能性があります。これらの問題が解決されるまで、AirMail 3の使用を控えるよう推奨されています。
VerSpriteによって最初に発見された最初のエクスプロイトは、URLリクエストを含むリンクを含むメールに埋め込まれていました。これにより、「メール送信」機能を利用して、ユーザーに気付かれずにメールを返信することが可能になりました。
VerSpriteの研究者は、AirMail 3に、クライアントが送信メールにファイルを自動的に添付するコードを発見しました。これにより、ユーザーの知らないうちにメールや添付ファイルを受信できる可能性があります。
AirMail 3 の 3 番目の脆弱性は、HMTM フレーム所有者要素の「不完全なブラックリスト」と呼ばれ、Webkit フレーム インスタンスを電子メールで開くことができる可能性があります。
最後に、4つ目の脆弱性は、メールを開くだけで発動する可能性があり、クリック操作などは一切不要です。場合によっては、EventHandlerナビゲーションフィルターがバイパスされ、埋め込まれたHTML要素がユーザーの介入なしに開かれてしまう可能性があります。
AppleInsiderによると、Airmailは「おそらく本日」に修正プログラムを送信する予定とのことです。ただし、この脆弱性の潜在的な影響は「非常に仮説的な」ものであり、ユーザーから問題が報告されていないことも指摘しています。
一方、研究者のファビウス・ワトソン氏は、AirMail ユーザーに対してシンプルな提案をしている。「この問題が修正されるまでは、Airmail 3 の使用は避けた方が良いでしょう。」
AirMail 3はmacOSとiOSで利用可能です。今回の脆弱性はMac版でのみ発見されました。
私たちはこの件を引き続き追っていき、必要に応じて最新情報を提供していきます。
