Unbeabsichtigtes Löschen durch The Bat!

Ein Fehlverhalten beim E-Mail-Programm "The Bat!" von RITLABS lässt sich unter gewissen Umständen dazu ausnutzen, Dateien auf dem Computer des Empfängers zu lokalisieren oder gar zu löschen. Das Problem besteht in einem speziellen Header-Eintrag namens "X-BAT-FILES:" den The Bat! verwendet: In der Standardeinstellung speichert das Programm alle E-Mail-Attachments nicht zusammen mit dem Body der Mail, sondern einzeln in einem Unterverzeichnis. The Bat! prüft aber nicht, ob bei eingehenden Nachrichten dieser Header-Eintrag verwendet wird. Erhält ein The Bat!-Benutzer eine E-Mail mit einem gefälschten Header-Eintrag "X-BAT-FILES: C:\AUTOEXEC.BAT" und hat er zusätzlich die Option "Delete attached files when message is deleted from Trash-Folder" aktiviert, kann das schnell zu einem Unglück führen. Wird diese Mail aus dem Papierkorb gelöscht, dann verschwindet ebenso die Startdatei AUTOEXEC.BAT vom Rechner des Anwenders. Prinzipiell funktioniert das mit jeder Datei, deren genaue Position dem Angreifer bekannt ist.

Zusätzlich wird der Header-Eintrag beim Weiterleiten einer Nachricht mit einem Attachment nicht herausgeschnitten. Das bewirkt, dass der Empfänger genau weiss, in welchem Verzeichnis sich alle Mail-Anhänge des The Bat!-Benutzers befinden. Unter gewissen Umständen lässt sich das für Angriffe ausnutzen, weil eine beliebige Datei zum Benutzer gesendet werden kann und gleichzeitig bekannt ist, in welchem Verzeichnis sie sich befindet. (pab)