Sicherheitsloch in Qualcomm Eudora

Eudora führt bei einem einfachen Klick auf einen Link in der Mail möglicherweise Programmcode auf dem eigenen Rechner aus. Das berichtet die Sicherheits-Mailingliste Bugtraq. Anfällig für dieses Sicherheitsloch ist Eudora 5.1 in den Standardeinstellungen: "Microsoft Viewer" aktiviert, "allow executables in HTML content" deaktiviert.

Eudora legt in HTML-Mails über "IMG SRC"-Tags eingebunde Objekte im "Embedded"-Verzeichnis ab. Der Angriff wird durch eine HTML-Mail ausgelöst, die zwei solcher Objekte, nämlich ein beliebiges Programm (*.exe-Datei) und ein JavaScript/ActiveX-Control enthält. Der eigentliche Trick besteht nun darin, einen unsichtbaren HTML-FORM und einen Button in die Mail einzubauen – der integrierte Internet-Explorer-Viewer machts möglich. Über diesen unsichtbaren Bereich wird eine URL gelegt; ein Klick auf diesen vermeintlichen Link öffnet aber in Wirklichkeit das ActiveX-Control. Dieses wiederum startet die beigefügte *.exe-Datei, was möglich ist, da beide Dateien im gleichen Verzeichnis liegen.

Bislang gibt es für das Problem noch keinen Patch, aber einen Workaround: Durch Deaktivieren von "use Microsoft Viewer" in den Eudora-Einstellungen führt der Mailer keine Inhalte dieser Art mehr aus. (pab)