Evolution mit kritischem Fehler
Der Sicherheitsdienstleister Secunia meldet einen kritischen Fehler im Mail- und Groupware-Programm Evolution.
Der Sicherheitsdienstleister Secunia meldet einen kritischen Fehler im Mail- und Groupware-Programm Evolution. Mit einer speziell präparierten E-Mail könnten Angreifer einen Programmierfehler so ausnutzen, dass beim Öffnen der Mail ihr Code mit den Rechten des angemeldeten Benutzers ausgeführt wird.
Evolution galt lange Zeit als eines der Renommierstücke des Gnome-Projekts und sollte Linux-Anwendern einen Ersatz für Outlook bieten – inklusive aller Groupware-Funktionen wie Kalender, Todo-Liste und so weiter. Viele Linux-User probierten es aus, verabschiedeten sich jedoch nach einer kurzen Euphoriephase enttäuscht, weil das Programm über Jahre hinweg sehr langsam und vor allem instabil war. Diesen Ruf konnte die Software seither auch nicht wieder loswerden.
So überrascht es nur wenig, dass nun Ulf Harnhammar von Secunia gezeigt hat, dass sich mindestens eine der möglichen Absturzursachen ausnutzen lässt, um Code einzuschleusen und auszuführen. Bei der Anzeige einer Versionsangabe in der E-Mail in der Funktion emf_multipart_encrypted() kann ein so genannter Format-String-Fehler auftreten. Das ist quasi ein Klassiker der auf unsaubere Programmierung zurückzuführenden Sicherheitsprobleme.
Secunia empfiehlt, keine "nicht vertrauenswürdigen" E-Mails zu öffnen. Wie man diese Unterscheidung in der Praxis treffen soll, verrät der Sicherheitsdienstleister jedoch nicht. Wer Wert auf Sicherheit legt, sollte deshalb wohl bis auf Weiteres auf den Einsatz von Evolution ganz verzichten. Immerhin sollen laut der veröffentlichten Sicherheitsnotiz demnächst verschiedene Linux-Distributoren fehlerbereinigte Versionen bereitstellen.
Siehe dazu auch:
- Evolution Encrypted Message Format String Vulnerability, Sicherheitsnotiz von Secunia
(ju)
