Evolution mit zwei kritischen Fehlern
Der Standard-E-Mail-Client und Personal Information Manager Evolution des Gnome-Desktops weist Fehler im iCalender auf, durch die es möglich sein soll, Code auf ein System zu schleusen und zu starten.
- Daniel Bachfeld
Der Standard-E-Mail-Client und Personal Information Manager Evolution des Gnome-Desktops weist zwei Sicherheitslücken auf, durch die es möglich sein soll, Code auf ein System zu schleusen und zu starten. Laut Secunia steckt in der Verarbeitung von iCalendar-Terminanhängen ein Fehler beim Parsen der Zeitzonen-Zeichenkette, der bei präparierten Anhängen zu einem Buffer Overflow führt. Voraussetzung ist jedoch, dass das ITip-Formatter-Plug-in deaktiviert ist.
Zudem kann beim Beantworten einer iCalendar-Anfrage ein Heap Overflow auftreten, wenn der Anhang ein zu langes "DESCRIPTION"-Feld aufweist. Ein Angriff funktioniert laut Secunia aber nur, wenn das Opfer in der Kalenderansicht ist. Die Fehler wurden in Version 2.22.1 gefunden, vorherige Fassungen sind wahrscheinlich ebenfalls betroffen. Ein Update ist auf den offiziellen Seiten noch nicht verfügbar. Die ersten Linux-Distributoren haben aber schon aktualisierte Pakete veröffentlicht.
Alternativ empfiehlt Secunia, keine "nicht vertrauenswürdigen" E-Mails zu öffnen. Wie man diese Unterscheidung in der Praxis treffen soll, verrät der Sicherheitsdienstleister jedoch nicht. Wer Wert auf Sicherheit legt, sollte deshalb wohl bis auf Weiteres auf den Einsatz von Evolution ganz verzichten.
Siehe dazu auch:
- Evolution iCalendar Timezone Buffer Overflow, Fehlerbericht von Secunia
- Evolution iCalendar "DESCRIPTION" Property Buffer Overflow, Fehlerbericht von Secunia
- evolution security update, Fehlerbericht von Red Hat
(dab)
