Thema: Auch Linux-Thunderbird führt Shell-Befehle aus

Forum: Boardnews und Infos

Autor: IhmSelbst


IhmSelbst - 23/9/2005 um 07:29


Zitat:
Auch Linux-Thunderbird führt Shell-Befehle aus

Auch Thunderbird weist die gestern in Firefox bekannt gewordene[1] Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden. Dies könnte über mailto:-Links in Web-Seiten ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im Browser eingerichtet ist.

Der Aufruf von Thunderbird über die Kommandozeile mozilla-thunderbird -compose 'mailto:test@da.de`id`' bringt den Befehl id zur Ausführung, in die Ziel-Adresse wird die Ausgabe des Programmes eingebaut. Der Fehler liegt abermals in dem Skript, das beim Programmaufruf ausgeführt wird. Hier wird die Eingabe nicht ausreichend überprüft.

Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann eine neue Thunderbird-Version veröffentlicht wird, um den Fehler zu beheben. Im Bugzilla-Eintrag zur Firefox-Lücke wird Thunderbird bisher noch gar nicht erwähnt.

Siehe dazu auch:

* Security Advisory[2] von Secunia
* Bugzilla-Eintrag[3] zur Lücke in Firefox

(dmk[4]/c't) (dmk/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/64185

Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/64115
[2] http://secunia.com/advisories/16901/
[3] https://bugzilla.mozilla.org/show_bug.cgi?id=307185
[4] mailto:dmk@ct.heise.de


quelle:
http://www.heise.de/newsticker/meldung/print/64185


cu

Dieses Thema kommt von : eD2K-Serverboard
http://ed2k-serverboard.de

URL dieser Webseite:
http://ed2k-serverboard.de/modules.php?name=eBoard&file=viewthread&fid=31&tid=423