Problem in Mozilla und Thunderbird erleichtert Spammern die Arbeit
Durch einen Fehler in Mozilla Mail 1.7.x und Thunderbird 0.8 können Spammer die Gültigkeit eines E-Mail-Kontos verifizieren und damit ihren Müll gezielter versenden, so ein Bericht auf der Mailingliste Full Disclosure.
Durch einen Fehler in Mozilla Mail 1.7.x und Thunderbird 0.8 (wohl auch bei der gerade veröffentlichten Version 0.9, die dem Entdecker des Problems aber noch nicht vorlag) können Spammer die Gültigkeit eines E-Mail-Kontos verifizieren und damit ihren Müll gezielter versenden, so ein Bericht auf der Mailingliste Full Disclosure. Öffnet ein Anwender eine präparierte HTML-Spam-Mail, in der ein externes Cascading Style Sheet (CSS) verlinkt ist, so lädt der Client die Datei von dem angegebenen Server nach. Damit können Spammer nachvollziehen, ob die Mail gelesen wurde und auf ein existierendes Konto schließen. Der Trick funktioniert aber nur, wenn die HTML-Ansicht aktiviert ist.
Bislang verwendeten die Spammer für solche Tricks so genannte Web-Bugs, kleine in eine HTML-Mail eingebettete Bilder, die der Mailclient von einem Webserver nachludt. Mittlerweile ist aber so gut wie jedes Mailprogramm mit einer Option ausgestattet, die das Nachladen von Bildern und anderen Inhalten verhindern kann. Allerdings gilt diese Einschränkung offenbar nicht für Stylesheets. Ob andere Mailclients ebenfalls betroffen sind, müssen weitere Tests zeigen. Abhilfe schafft derzeit nur, die HTML-Ansicht zu deaktivieren.
Siehe dazu auch: (dab)
