Mails mit bestimmten Dateianhängen verursachen im GTK-basierten Mail-Client Sylpheed einen Buffer Overflow, über den sich Schadcode in ein System einbringen und im Kontext des Anwenders starten lässt. Der Fehler tritt bei der Verarbeitung von Attachments auf, deren Dateinamen MIME-kodiert sind. Dazu reicht es aus, eine präparierte Mail anzuzeigen.
Die Schwachstelle findet sich in den Versionen 0.8.0 bis einschließlich 1.0.3 sowie den Entwicklerversionen 1.9.0 bis einschließlich 1.9.4. Der Entwickler Hiroyuki Yamamoto hat den Fehler in 1.0.4 beseitigt. In den Entwicklerversionen tritt das Problem bereits seit 1.9.5 nicht mehr auf. Zuletzt war Anfang März ein Update für Sylpheed aufgrund einer Sicherheitslücke notwendig. Der Mail-Client wird unter anderem in der für einen USB-Stick geeigneten Linux-Distribution Puppy eingesetzt.
Quelle und Links :
http://www.heise.de/newsticker/meldung/58089
