[MS Windows/Eudora Mailclient] Schwachstelle im Qualcomm Eudora Mailclient
(2001-05-31 16:09:58+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/05/msg00278.html
Durch eine Schwachstelle im Mailprogramm Eudora kann beliebiger Programmcode beim Klick auf einen in einer HTML-E-mail befindlichen Link ausgeführt werden.
Betroffene Systeme
- Qualcomm Eudora Mailclient Version 5.1
Typ der Verwundbarkeit
design flaw
Beschreibung
Das Mailprogramm Eudora besitzt in den Standardeinstellungen, bei denen allow executables in HTML content deaktiviert und use Microsoft viewer aktviert ist, eine Schwachstelle. Objekte die in HTML-Emails mittels "IMG SRC"-Tags eingebunden sind, werden von Eudora im Ebedded Ordner abgelegt. Ein Angreifer könnte mittels einer arglistigen HTML-Email, die solche "IMG SRC"-Tags ausnutzt, sowohl ausführbare Programme (*.exe) als auch JavaScript/ActiveX Controls ablegen. Wird ferner in diese arglistige HTML-Email ein unsichtbares HTML-FORM mit Button eingebettet, was durch den integrierten Internet-Explorer-Viewer ermöglicht wird, so kann beispielsweise beim Klick auf einen vermeintlichen Link ein JavaScript/ActiveX Control, und darüber das Programm (*.exe) ausgeführt werden. Dies ist möglich, da beide Objekte im selben Verzeichnis (Ebedded) abgelegt wurden.
Auswirkung
Ausführung beliebigen Programmcodes
mit den Rechten des jeweiligen Eudora-Benutzers
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Gegenmaßnahmen
Bisher liegt keine Reaktion von Qualcomm, dem Hersteller von Eudora vor.
Workaround
Deaktivieren Sie in den Einstellungen von Eudora "use Microsoft Viewer".
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=363