Deprecated: Function eregi() is deprecated in /var/www/web100515/html/mainfile.php on line 88

Deprecated: Function set_magic_quotes_runtime() is deprecated in /var/www/web100515/html/includes/mx_system.php on line 31

Willkommen bei eD2K-Serverboard
Suchen
Artikel
  · Registrieren/Einloggen Portal  ·  Artikel  ·  Artikel schreiben  ·  Lugdunix-/Eselforum  ·  Forum II  ·  Ausloggen  

  Hauptmenü
General
 Home
 Themen
 Artikel
 Downloads
 Links
 Bildergallerie
 Impressum

Community
 Ihr Account
 Memberliste
 Artikel schreiben
 Kalender
 Statistiken

Stuff
FAQ

Suchen

  Zusatz Menü

  
Folgende Benutzer haben heute Geburtstag:
Happy Birthday
· redflash: 60 Jahre

  Herzlichen Glückwunsch zum Geburtstag

Herzlichen Glückwunsch zum Geburtstag
Herzlichen Glückwunsch zum Geburtstag ]


  
1: +++ www.eMuleSite.de +++
   [Visits: 2299 x]
2: Windowsforum
   [Visits: 2056 x]
3: Turboforum
   [Visits: 2044 x]
5: Linux-Club
   [Visits: 1812 x]
6: Das Linuxbuch
   [Visits: 1787 x]
7: adslforum bei G. Schwarz
   [Visits: 1765 x]
8: Das eMule - Handbuch
   [Visits: 1703 x]
9: Atelier Web Remote Commander
   [Visits: 1628 x]

  Terminkalender
Oktober 2019
  1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
Keine Termine fuer heute.

Termin vorschlagen Termin vorschlagen

  Menü II

Flatbooster


Serverboard Forum Sie sind nicht eingeloggt


Nach unten
« vorheriges  nächstes »
Aufsteigend sortiern Absteigend sortieren      print
Autor: Betreff: Auch Linux-Thunderbird führt Shell-Befehle aus
Super Moderator
Alter Esel

IhmSelbst
Beiträge: 339
Registriert: 29/12/2002
Status: Offline
Geschlecht: männlich
red_folder.gif erstellt am: 23/9/2005 um 07:29  

Zitat:
Auch Linux-Thunderbird führt Shell-Befehle aus

Auch Thunderbird weist die gestern in Firefox bekannt gewordene[1] Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden. Dies könnte über mailto:-Links in Web-Seiten ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im Browser eingerichtet ist.

Der Aufruf von Thunderbird über die Kommandozeile mozilla-thunderbird -compose 'mailto:test@da.de`id`' bringt den Befehl id zur Ausführung, in die Ziel-Adresse wird die Ausgabe des Programmes eingebaut. Der Fehler liegt abermals in dem Skript, das beim Programmaufruf ausgeführt wird. Hier wird die Eingabe nicht ausreichend überprüft.

Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann eine neue Thunderbird-Version veröffentlicht wird, um den Fehler zu beheben. Im Bugzilla-Eintrag zur Firefox-Lücke wird Thunderbird bisher noch gar nicht erwähnt.

Siehe dazu auch:

* Security Advisory[2] von Secunia
* Bugzilla-Eintrag[3] zur Lücke in Firefox

(dmk[4]/c't) (dmk/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/64185

Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/64115
[2] http://secunia.com/advisories/16901/
[3] https://bugzilla.mozilla.org/show_bug.cgi?id=307185
[4] mailto:dmk@ct.heise.de


quelle:
http://www.heise.de/newsticker/meldung/print/64185


cu


____________________
Profil anzeigen Nach allen Beiträgen dieses Users suchen
« vorheriges  nächstes »        print
Nach oben


mxBoard, © 2006 by pragmaMx.org, based on eBoard, XMB and XForum


-
Alle Logos und Warenzeichen auf dieser Seite sind Eigentum der jeweiligen Besitzer und Lizenzhalter.
Im übrigen gilt Haftungsausschluss. Weitere Details finden Sie im Impressum.
Die Artikel sind geistiges Eigentum des/der jeweiligen Autoren, alles andere © 2003 - 2007 by eD2K-Serverboard
Diese Webseite basiert auf pragmaMx 0.1.9. Dieses CMS ist frei erhältlich.