Buffer Overflows in Mail-Clients Eureka und Pegasus
Die Verarbeitung zu langer POP3-Antworten eines Servers führen bei Eureka und Pegasus zu Buffer Overflows, die sich zum Einschleusen und Ausführen von Schadcode ausnutzen lassen.
- Daniel Bachfeld
Die Verarbeitung zu langer POP3-Antworten eines Servers führen bei den E-Mail-Clients Eureka und Pegasus (PMail) zu Buffer Overflows, die sich zum Einschleusen und Ausführen von Schadcode ausnutzen lassen. Dazu muss sich das Opfer aber mit einem präparierten Mail-Server verbinden. Betroffen sind Pegasus Mail 4.5x und Eureka Mail 2.2q (unter Windows XP SP2) sowie vermutlich jeweils vorhergehende Versionen.
Für beide Programme hat der Entdecker der Lücken Francis Provencher in seinen Berichten Exploits veröffentlicht. Derjenige für Pegasus soll jedoch nur zum Absturz des Programms führen, während der für Eureka echten Shellcode ausführen soll.
Updates zum Schließen der Lücke gibt es bislang nicht. Anwender älterer Versionen von PMail sollten dennoch auf die Version 4.51 umsteigen, da diese nach Angaben des Sicherheitsdienstleisters Secunia mit der Compiler-Option /GS übersetzt wurde. Damit lässt sich zwar unter Windows XP SP2 der Pufferüberlauf nicht verhindern, immerhin erkennt das System aber den Angriffsversuch und beendet den verursachenden Prozess.
Siehe dazu auch:
- Pegasus Mail client BoF , Bericht von Francis Provencher
- Eureka Mail client BoF , Bericht von Francis Provencher
(dab)
