AirMail 3 för macOS-användare varnas för fyra möjliga exploateringar. En av dessa skulle kunna utlösas helt enkelt genom att öppna ett e-postmeddelande. Tills dessa problem har lösts uppmuntras folk att inte använda programvaran.
Först upptäckt av VerSprite, den första exploaten kan komma i ett e-postmeddelande som innehåller en länk som innehåller en URL-begäran. Det kan i sin tur använda en "skicka e-post" -funktion för att skicka ett e-postmeddelande utan användarens vetskap.
Som en del av upptäckten har forskare från VerSprite också hittat kod i AirMail 3 som gör att klienten bifogar filer till ett utgående post automatiskt. Detta kan göra det möjligt för någon att få e-postmeddelanden och bilagor utan användarens vetskap.
En tredje AirMail 3-sårbarhet, kallad en "ofullständig svartlista" med HMTM Frame Owners Elements, kan tillåta att någon använder Webkit Frame-instanser att öppnas via e-post.
Slutligen kan en fjärde sårbarhet aktiveras bara genom att öppna ett e-postmeddelande och därmed inte kräva någon klickning för att komma igång. I vissa situationer kan EventHandler-navigeringsfiltret kringgås, så att ett inbäddat HTML-element öppnas utan någon användarintrång.
Enligt AppleInsider, Airmail på att skicka ut en fix "förmodligen idag." Men den sa också att den potentiella effekten av exploaten är "mycket hypotetisk", och noterar att inga användare har rapporterat ett problem.
Samtidigt har forskaren Fabius Watson ett enkelt förslag till AirMail-användare: "Jag skulle undvika att använda Airmail 3 tills detta är fixat."
AirMail 3 är tillgänglig på macOS och iOS. Bristerna upptäcktes endast i Mac-versionen av programvaran.
Vi fortsätter att följa den här historien och tillhandahålla uppdateringar som det krävs.