DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: Jürgen am 07 Mai, 2004, 23:01

Titel: Kritisches Sicherheitsloch in Eudora
Beitrag von: Jürgen am 07 Mai, 2004, 23:01
Kritisches Sicherheitsloch in Eudora
Paul Szabo hat eine Schwachstelle im Mail-Client Eudora gefunden, durch die Angreifer von außen beliebigen Code ausführen können. Betroffen sind Eudora 5.x und 6.x für Windows. Das Problem tritt bei überlangen URLs in E-Mails auf: Klickt ein Anwender auf einen überlangen Hyperlink (circa 300 Bytes), führt das zu einem Buffer Overflow in Eudora, der sich zum Einschleusen von beliebigem Code nutzen lässt. Szabo hat ein Proof-of-Concept-Exploit auf der Sicherheits-Mailingliste Full-Disclosure veröffentlicht, das Eudora zum Absturz bringt. In einem Test mit Eudora 6.1 unter Windows XP funktionierte das reproduzierbar.  

Szabo empfiehlt in seinem Advisory, auf andere Produkte auszuweichen oder zumindest "Allow executables in HTML content" und "Use Microsoft's viewer" in den Eudora-Optionen zu deaktivieren. Einen Patch für das Problem gibt es bislang noch nicht. Die Sicherheitlücke ähnelt zwei anderen Lücken, die mittlerweile gestopft sind. Auch dabei handelte es sich um Buffer Overflows, die durch überlange Zeichenketten auslösbar waren, einmal im Header "Reply To:" und in Dateinamen für Attachments.

Siehe dazu auch:

Do not use Eudora von Paul Szabo http://www.maths.usyd.edu.au:8000/u/psz/securepc.html#Eudoraxx
Schwachstelle im Mailprogramm Eudora auf heise Security http://www.heise.de/security/news/meldung/41882
Neue Version von Eudora weiterhin mit Sicherheitslücken auf heise Security http://www.heise.de/security/news/meldung/40318

Quelle:
http://www.heise.de/newsticker/meldung/47192
Titel: Mail-Client Eudora 6.1.2 schließt Sicherheitslücken
Beitrag von: Jürgen am 23 Juni, 2004, 03:47
Qualcomm hat ein Update für sein beliebtes Mail-Programm Eudora zum Download bereitgestellt. Größtenteils behebt die neue Version 6.1.2 gegenüber Eudora 6.1.1 bekannte Sicherheitsprobleme.

-/-

Die neue Version ist zurzeit nur für die Windows-Version von Eudora erhältlich. (hob/c't)

Der ganze Artikel (http://www.heise.de/newsticker/meldung/48475)
Quelle: www.heise.de
Titel: Kritische Schwachstellen in Windows-Version von Eudora
Beitrag von: Jürgen am 03 Februar, 2005, 14:11
NGSSoftware hat mehrere kritische Schwachstellen in der Windows-Version des Mail-Clients Eudora gemeldet, mit denen Angreifer Code auf ein System schleusen und ausführen können. Dazu genügt es, dass das Opfer in Eudora eine präparierte E-Mail in der Vorschau betrachtet oder die Mail öffnet. Ein ähnlicher Fehler tritt beim Öffnen bestimmter Mailbox-Dateien auf. Nähere Angaben macht NGSSoftware noch nicht, will aber Anfang Mai weitere Details zu den Lücken veröffentlichen.

Betroffen ist Version 6.2.0, in Version 6.2.1 sind die Fehler nicht mehr enthalten. Im E-Mail-Client des Herstellers Qualcomm wurden in der Vergangenheit bereits mehrere kritische Sicherheitslücken entdeckt und beseitigt.

Siehe dazu auch:

    * Security Advisory zu Eudora von NGSSoftware

(dab/c't)
Quelle und Links:
http://www.heise.de/newsticker/meldung/55895