RoundCube possui falha que pode levar a roubo de dados

Uma nova vulnerabilidade foi recentemente descoberta no cliente de webmail Roundcube, que pode permitir aos atacantes obterem dados de acesso a contas de email enviando apenas uma mensagem para as potenciais vítimas.

A falha, de acordo com os investigadores da empresa de segurança russa Positive Technologies, terá sido descoberta em setembro, e acredita-se que possa estar em utilização antes disso. A mesma já terá sido usada para alguns ataques e para obter acesso a algumas contas de email vulneráveis.

Esta falha em particular permite que, quando mensagens especificamente criadas para explorar a mesma são recebidas em caixas de email pelo Roundcube, podem permitir a execução de javascript malicioso na página, que pode ser usado para roubar o aceso da mesma.

Os utilizadores apenas necessitam de abrir os emails para poderem ser afetados, sendo que a falha explora um erro no processamento de ficheiros SVG de imagem pelo leitor de emails. Com a exploração, o código pode ser diretamente executado no navegador apenas com a abertura do email, abrindo portas para o roubo de dados e de informação potencialmente sensível.

O script usado para o ataque envia ainda dados importantes das contas para um sistema remoto, que pode depois ser usado para potenciais ataques à conta de email que abriu a mensagem.

Esta falha afeta todas as versões do Roundcube anteriores à 1.5.6 e as versões da 1.6 à 1.6.6, sendo recomendado que os administradores de sistemas onde o webmail seja usado atualizem para a versão mais recente o mais rapidamente possível.

A falha foi corrigida com as versões 1.5.7 e 1.6.7 lançadas a 19 de Maio, sendo que a versão mais recente é a 1.6.9 lançada a 1 de Setembro. As falhas do RoundCube tendem a ser bastante exploradas para ataques, tendo em conta que é um webmail bastante usado por empresas e organizações em todo o mundo.