Клиент Evolution стал уязвимостью в Linux

В мире Linux, где безопасность считается приоритетом, новости об уязвимостях в популярном ПО вызывают особый резонанс. Почтовый клиент Evolution, любимый миллионами пользователей и встроенный по умолчанию в среду GNOME, оказался в центре скандала. Британский системный администратор Майк Кардвелл обнаружил, что Evolution передает данные пользователей третьим лицам при открытии писем в формате HTML. Проблема сохраняется даже при отключении загрузки внешнего контента в настройках, что делает уязвимость особенно коварной.

Утечка происходит из-за автоматического DNS-запроса, инициируемого тегом в коде письма, что позволяет злоумышленникам получать IP-адрес пользователя.

Разработчики Evolution, входящие в The GNOME Project, признали проблему, но переложили ответственность на движок WebKitGTK, заявив, что уязвимость известна с августа 2023 года. Пока исправления нет, а пользователям рекомендуют отказаться от Evolution в пользу более безопасных альтернатив, таких как Mozilla Thunderbird. Ситуация вызывает вопросы о надежности даже проверенного ПО.

Что случилось?

Популярный почтовый клиент Evolution, используемый в Linux, оказался под ударом из-за серьезной уязвимости. Британский системный администратор Майк Кардвелл обнаружил, что Evolution передает данные пользователей третьим лицам при открытии писем в формате HTML. Это происходит даже при отключенной в настройках загрузке внешнего содержимого, что делает проблему особенно опасной.

Как работает уязвимость?

Утечка данных связана с HTML-тегом . При открытии письма Evolution автоматически выполняет DNS-запрос к указанному домену. Это позволяет отправителю письма получить IP-адрес пользователя, раскрывая его местоположение и потенциально другую конфиденциальную информацию.

Реакция разработчиков

Разработчики Evolution, входящие в The GNOME Project, не спешат выпускать исправление. Они переложили ответственность на движок WebKitGTK, заявив, что проблема известна с августа 2023 года, но пока не решена. Майк Кардвелл призвал пользователей отказаться от Evolution в пользу более безопасных альтернатив, таких как Mozilla Thunderbird.

Почему это важно?

Evolution — один из самых популярных почтовых клиентов в экосистеме Linux, особенно среди пользователей среды GNOME, где он установлен по умолчанию. Клиент поддерживает множество протоколов и славится гибкими настройками безопасности, что делает уязвимость особенно неожиданной. Проблема затрагивает миллионы пользователей по всему миру.

Ситуация в России

В России Evolution включен в дистрибутив Astra Linux, но не является рекомендованным почтовым клиентом. Разработчики Astra Linux рассматривают возможность полного исключения Evolution из системы. Также упоминания клиента найдены в документации «Ред ОС», что вызывает вопросы о его безопасности в российских дистрибутивах.

Что делать?

Пока уязвимость не устранена, пользователи Evolution рискуют утечкой данных. Рекомендуется:

• Перейти на альтернативные почтовые клиенты, например Mozilla Thunderbird.
• Отключить обработку HTML в почтовых клиентах.
• Следить за обновлениями от разработчиков Evolution и WebKitGTK.

Вывод

Случай с Evolution напоминает, что даже проверенное ПО в мире Linux не застраховано от серьезных уязвимостей. Проблема подчеркивает важность тщательной проверки кода и своевременного обновления программ, особенно тех, что работают с чувствительными данными. Пользователям стоит проявлять осторожность и выбирать надежные инструменты для защиты своей конфиденциальности.