Auch Thunderbird weist die Schwachstelle auf, durch die beim Programmaufruf
mit URLs als Parameter Shell-Befehle ausgeführt werden können.
Dies könnte beispielsweise über mailto:-Links in Web-Seiten
ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im
Browser eingerichtet ist.
Der Aufruf von Thunderbird über die Kommandozeile mozilla-thunderbird
-compose 'mailto:test@da.de`id`' bringt den Befehl id zur Ausführung.
Die Ausgabe des Befehls Unix-Befehls id wird in die Ziel-Adresse
eingebaut. Wiederum liegt der Fehler in dem Skript, das beim Programmaufruf
ausgeführt wird. Die Eingabe wird hier nicht ausreichend überprüft.
Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann
eine neue Thunderbird-Version mit der Fehlerbehebung veröffentlicht
wird. Im Bugzilla-Eintrag zur Firefox-Lücke wird Thunderbird
bisher noch nicht erwähnt.
Die Prof. Hellberg
EDV-Beratung und IT-Consulting Hannover betreut Kunden, die
OpenSource-Software in produktiven Bereichen erfolgreich einsetzen.
Daher verfolgt die Prof.
Hellberg EDV-Beratung die sicherheitsrelevanten Entwicklungen
im OpenSource-Bereich mit großem Interesse. Wir werden weiter
über diese Entwicklungen berichten!
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|