Sicherheitsloch in Qualcomm Eudora
Eudora führt bei einem einfachen Klick auf einen Link in der Mail möglicherweise Programmcode auf dem eigenen Rechner aus.
Eudora führt bei einem einfachen Klick auf einen Link in der Mail möglicherweise Programmcode auf dem eigenen Rechner aus. Das berichtet die Sicherheits-Mailingliste Bugtraq. Anfällig für dieses Sicherheitsloch ist Eudora 5.1 in den Standardeinstellungen: "Microsoft Viewer" aktiviert, "allow executables in HTML content" deaktiviert.
Eudora legt in HTML-Mails über "IMG SRC"-Tags eingebunde Objekte im "Embedded"-Verzeichnis ab. Der Angriff wird durch eine HTML-Mail ausgelöst, die zwei solcher Objekte, nämlich ein beliebiges Programm (*.exe-Datei) und ein JavaScript/ActiveX-Control enthält. Der eigentliche Trick besteht nun darin, einen unsichtbaren HTML-FORM und einen Button in die Mail einzubauen – der integrierte Internet-Explorer-Viewer machts möglich. Über diesen unsichtbaren Bereich wird eine URL gelegt; ein Klick auf diesen vermeintlichen Link öffnet aber in Wirklichkeit das ActiveX-Control. Dieses wiederum startet die beigefügte *.exe-Datei, was möglich ist, da beide Dateien im gleichen Verzeichnis liegen.
Bislang gibt es fĂĽr das Problem noch keinen Patch, aber einen Workaround: Durch Deaktivieren von "use Microsoft Viewer" in den Eudora-Einstellungen fĂĽhrt der Mailer keine Inhalte dieser Art mehr aus. (pab)
