AirMail 3 voor macOS-gebruikers worden gewaarschuwd voor vier mogelijke exploits. Een van deze kan eenvoudig worden geactiveerd door een e-mail te openen. Totdat deze problemen zijn opgelost, worden mensen aangemoedigd om de software niet te gebruiken.
Voor het eerst ontdekt door VerSprite, kan de eerste exploit binnenkomen in een e-mail met een link die een URL-verzoek bevat. Dat kan op zijn beurt een functie "e-mail verzenden" gebruiken om een e-mail terug te sturen zonder medeweten van de gebruiker.
Als onderdeel van zijn ontdekking hebben VerSprite-onderzoekers ook code gevonden in AirMail 3 waardoor de client automatisch bestanden aan een uitgaande e-mail toevoegt. Hierdoor kan iemand e-mails en bijlagen ontvangen zonder medeweten van de gebruiker.
Een derde AirMail 3-kwetsbaarheid, een "onvolledige zwarte lijst" van HMTM Frame Owner Elements, kan iemand in staat stellen Webkit Frame-instanties te gebruiken die via e-mail kunnen worden geopend.
Ten slotte kan een vierde kwetsbaarheid alleen worden geactiveerd door een e-mail te openen, waardoor u niet hoeft te klikken om te beginnen. In sommige situaties kan het EventHandler-navigatiefilter worden omzeild, waardoor een ingesloten HTML-element kan worden geopend zonder tussenkomst van de gebruiker.
Volgens AppleInsider, luchtpost over het verzenden van een oplossing "waarschijnlijk vandaag". Het zei echter ook dat de potentiële impact van de exploit "zeer hypothetisch" is, en merkt op dat geen gebruikers een probleem hebben gemeld.
Ondertussen heeft onderzoeker Fabius Watson een eenvoudige suggestie aan AirMail-gebruikers: "Ik zou het gebruik van Airmail 3 vermijden totdat dit is opgelost."
AirMail 3 is beschikbaar op macOS en iOS. De fouten zijn alleen ontdekt op de Mac-versie van de software.
We zullen dit verhaal blijven volgen en indien nodig updates verstrekken.
