Präparierte Memos können den PCs von Anwendern des Open-Source Mail-Clients Evolution gefährlich werden, schreibt der Sicherheitsdienstleister Secunia in einem Bericht. Demnach steckt in der Memo-Vorschau eine Format-String-Schwachstelle, mit der Angreifer über manipulierte Memos eigenen Code in den Rechner eines Opfers einschleusen können. Der Fehler findet sich in der Funktion write_html() im Modul calendar/gui/e-cal-component-memo-preview.c zur Anzeige der Kategorie eines Memos. Laut Secunia muss ein Opfer ein "Shared Memo" in seiner Mailbox öffnen und auf die Memo-Ansicht wechseln – in der Mailbox-Ansicht soll der Fehler nicht auftreten, da dort die Kategorie-Ansicht nicht zur Verfügung steht.
Der Fehler wurde für Version 2.8.2.1 bestätigt, andere Versionen sind wahrscheinlich ebenfalls verwundbar. Laut Fehlerbericht sind die Linux-Distributionen über den Fehler informiert, fehlerbereinigte Versionen sollen demnächst verfügbar sein. Bis dahin sollte man bei der Ansicht von Shared Memos vorsichtig sein.
Siehe dazu auch:
* Evolution Shared Memo Categories Format String Vulnerability, Fehlerbericht von Secunia ->
http://secunia.com/secunia_research/2007-44/advisory/Quelle :
www.heise.de
