Proponha uma correção, faça uma sugestão
Cuidado, o seu cliente de e-mail do Linux pode estar a revelar informação privada
Um dos clientes de e-mail mais populares do Linux tem uma vulnerabilidade grave, que pode vazar as informações. O Evolution tem uma falha de segurança há meses, e a equipa de programadores não fez nada para resolver esta situação. O pior de tudo é que vem pré-instalado por defeito no GNOME, o que significa que está presente em muitas distribuições populares.
Segundo o que foi divulgado, o Evolution tem uma vulnerabilidade que pode revelar o endereço IP do utilizador e confirmar que este viu a mensagem. Mike Cardwell, um administrador de sistemas do Reino Unido, descobriu que certos e-mails podem desencadear consultas DNS, mesmo quando a opção "Carregar conteúdo remoto" está desativada.
O atacante precisa simplesmente de carregar uma tag HTML contendo código malicioso. Por exemplo, se incluir a etiqueta algures <img src="trackingcode.attackersdomain.example.com/imagen.png" /> na mensagem, o Evolution não carregará a imagem, mas executará uma resolução DNS para o domínio. Isto porque o WebKitGTK, o motor de renderização utilizado pela aplicação no Linux, renderiza as tags HTML mesmo que o conteúdo remoto esteja bloqueado.
Ao abrir o e-mail, o servidor apresenta a consulta DNS nos seus logs. Esta consulta não só mostra que abriu a mensagem, como também pode revelar o seu endereço IP e, em alguns casos, a sua localização aproximada. A falha é grave, tendo em conta que o Evolution vem pré-instalado em distribuições Linux como o Fedora, Ubuntu, POP!_OS, Zorin e outras edições. Isto significa que milhares de utilizadores que o utilizam podem estar vulneráveis sem o saber.
Esta vulnerabilidade está ativa há quase dois anos e a equipa da Evolution ainda não a corrigiu. Cardwell sugeriu aos programadores que a aplicação filtrasse ou removesse as tags HTML maliciosas antes de exibir o conteúdo da mensagem ao utilizador. Infelizmente, os programadores rejeitaram o pedido e culparam o WebKitGTK, pelo que uma correção não será lançada em breve.
Embora uma das características mais notáveis do Evolution seja a segurança, a aplicação deixa a desejar neste caso. A única recomendação seria mudar para outro cliente de e-mail no Linux que bloqueie marcadores inseguros ou que tenha a sua própria renderização mais segura.
Uma alternativa é o Thunderbird , que não realiza consultas DNS ocultas e bloqueia conteúdos remotos. Outra opção é o Tuta Mail , um cliente de código aberto que permite a encriptação completa e já oferece encriptação pós-quântica. Por fim, o Proton é sempre uma das opções mais fiáveis, embora exija uma taxa.
Loading ...
O Outlook faz isso de minuto a minuto e o próprio thunderbird também a não ser que o configurem para ser um “vegetal”. BTW quem é que usa clientes de email nos dias de hoje?
E nada que não se resolva ao usar uma vpn. Quer dizer, têm linux, têm cliente de email e depois usam isso abertos no vosso ip sem uma VPN? Não faz sentido!!!
Quem usa? A maioria das empresas…
Usam aqueles que querem ter as mensagens na sua máquina e não no servidor de correio.
Thunderbird não realiza consultas DNS ocultas?
Era bom era.
Praticamente quase todo sofware faz consultas DNS aos mais variados dominios.
Facil ver isso por via dos logs em tempo real de um resolver centralizado com forwarders
como o Bind.
Migração para o Windows. O Linux está cheio de distros, desleixo e falhas ocultas. São tantas as distros, cada uma delas a querer captar clientes, que é o caos….
Só um aparte, porque se usa o termo “cliente de e-mail”, um cliente e’ alguém que adquire um bem ou serviço, um fornecedor e’ quem fornece o bem ou serviço. Há e tal, e’ linguagem técnica já adquirida… Bem, trata-se de uma troca flagrante de significados das palavras, e’ fornecedor e não cliente.
Ora aí está uma boa questão. Segundo as empresas que fornecem tais aplicações e plataformas, um cliente de email é um programa ou aplicação que permite enviar, receber, ler e organizar mensagens de correio eletrónico (email). Funciona como uma interface entre o utilizador e o servidor de email.
Mas não será “fornecedor”?
Não. A palavra “cliente de email” refere-se ao programa que o utilizador utiliza para aceder ao seu correio eletrónico, não ao fornecedor.
Toma como exemplo o seguinte:
– Cliente de email -> é a ferramenta ou aplicação (como o Outlook, Apple Mail, Thunderbird).
– Fornecedor de email -> é o serviço que fornece a conta e o armazenamento de emails, como a Google (Gmail), Microsoft (Outlook.com), Yahoo, SAPO, etc.
Ou seja: o fornecedor hospeda os emails, e o cliente permite ao utilizador interagir com eles.
Neste caso em particular, o Evolution, trata-se de um cliente de email e calendário de código aberto, desenvolvido para sistemas Linux, especialmente ambientes GNOME. É muitas vezes comparado ao Microsoft Outlook, pois integra várias funcionalidades num só programa.
Para ser mais correcto, a nomenclatura usada corresponde à tipologia tecnológica servidor/cliente (server/client) de um determinado serviço. Assim o serviço de “email” é provdiênciado/disponibilizado por um sistema servidor (server) e pode ser acedido através de uma aplicação cliente (client) de email – como são exemplos o Outlook, Evolution ou Thunderbird. Existem vários outros diferentes serviços que também usam esta tipologia e os respectivos sistemas servidores e aplicações clientes, por exemplo:
– Email (POP3/IMAP4/SMTP);
– FTP;
– HTTP/HTTPS:
– TELNET;
– SSH;
(etc.)
Qualquer interface com funções que interajam com um servidor são clientes, devias deixar a caixa do pingo doce.. mas até na caixa do pingo doce tens um cliente que faz interface com servidores SAP.. imagina lá, são clientes para caixas de supermercado e nem sequer compraram nada.. WOW
Basta entender o modelo cliente servidor. Noções básicas, do século passado, que se vão perdendo.
https://pt.wikipedia.org/wiki/Modelo_cliente%E2%80%93servidor
O Ubuntu traz o Thunderbird de origem, devido ao snaps. O Evolution tem de ser instalado pois é um pacote debian e não snaps.
O Evolution Data Server vem instalado por predefinição com o GNOME.
“A falha é grave, tendo em conta que o Evolution vem pré-instalado em distribuições Linux como o Fedora, Ubuntu, POP!_OS, Zorin e outras edições.”
Das distros mencionadas, apenas o Zorin vêm com o Evolution instalado. O Ubuntu vêm com o Thunderbird e o Pop!_OS com o Geary. O Fedora nem sequer vêm com um cliente de e-mail instalado, deixando essa escolha para o utilizador.
Há décadas que o Linux não é seguro!
Sugestão filtra por Linux e depois por Windows.
https://www.cisa.gov/known-exploited-vulnerabilities-catalog