Обнаружена проблема в Bloop Airmail 3 3.5.9 для macOS. Он регистрирует и использует схему URL airmail://. Команда “send” в схеме URL позволяет внешнему приложению отправлять произвольные электронные письма из активной учетной записи без аутентификации. Обработчик не имеет ограничений на то, кто может использовать его функциональность. Обработчик может быть вызван с использованием любого метода, который вызывает обработчик URL, например, гиперссылки в электронном письме. Пользователю не предлагается никаких действий, когда обработчик обрабатывает команду “send”, что приводит к автоматической передаче электронного письма, созданного злоумышленником, с целевой учетной записи.