GNOME Evolution verschluckt sich an Visitenkarten
GNOME Evolution stolpert über Visitenkarten mit manipulierten Einträgen, aber auch Aufgabenlisten bringen den Personal Information Manager aus dem Tritt.
GNOME Evolution, ein als Open Source verfügbarer Personal Information Manager ähnlich Outlook vor allem für Unix-Systeme und bald auch für Windows, stolpert über Visitenkarten mit präparierten Einträgen, meldet das Swedish IT Incident Centre in einem Security Advisory. Auch an weiteren Stellen in der Software zeigten sich demnach Fehler durch Formatumwandlungen von Zeichenketten.
Die folgenreichste Lücke tritt auf, wenn eine Visitenkarte, die beispielsweise an einer E-Mail hängt, vollständig angezeigt wird -- standardmäßig wird nur eine verkürzte Fassung dargestellt. Durch die fehlerhafte Formatwandlung kann der Client abstürzen, möglicherweise lässt sich laut Advisory darüber aber auch Code einschleusen und ausführen.
Ein zweiter Formatumwandlungsfehler tritt bei der Anzeige von Kontaktinformationen von LDAP-Servern auf. Ebenso patzt Evolution bei der Anzeige von serverseitigen Aufgabenlisten. Beim Abspeichern einer lokalen Aufgabenliste im Kalender kann der Fehler ebenfalls zum Tragen kommen.
Betroffen sind die Versionen Evolution 1.5 bis einschließlich 2.3.6.1 der freien Informationszentrale. Als Workaround schlägt das Swedish IT Incident Centre vor, auf die als unstable markierte Version 2.3.7 von Evolution zu aktualisieren oder den inoffziellen Patch anzuwenden, der im Advisory verlinkt ist.
Siehe dazu auch: (dmk)
- Security Advisory vom Swedish IT Incident Centre
- Download-Seite des GNOME-Evolution-Projekts
