Update fĂĽr SquirrelMail behebt Cross-Site-Scripting-Schwachstelle
Mit fehlerhaftem HTML-Code in E-Mails war es möglich, die HTML-Filter auszutricksen, um enthaltenes JavaScript beim Öffnen einer Mail im Browser des Anwenders auszuführen.
- Daniel Bachfeld
Die Entwickler des Webmailers SquirrelMail haben Version 1.4.17 vorgelegt, in der eine Cross-Site-Scripting-Lücke geschlossen wurde. Laut Bericht war es mit fehlerhaftem HTML-Code in E-Mails möglich, die HTML-Filter auszutricksen, um enthaltenes JavaScript beim Öffnen einer Mail im Browser des Anwenders auszuführen. Dazu musste aber die Option "Show HTML Version by Default" aktiviert sein.
Darüber hinaus erwähnen die Entwickler in den Release Notes als wichtige Änderungen die nun korrekte Nutzung verschiedener Identitäten beim Antworten auf Mails. Zudem soll SquirrelMail auf Internet Information Servern (IIS) Session-Cookies nur noch dann mit gesetztem HTTPS-only-Flag senden, wenn die Verbindung wirklich sicher ist.
Siehe dazu auch:
- SquirrelMail Malformed HTML Mail Message Script Insertion, Bericht von Ivan Markovic
- SquirrelMail im heise Software-Verzeichnis
(dab)
