Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News

Auch Thunderbird weist die Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden können. Dies könnte beispielsweise über mailto:-Links in Web-Seiten ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im Browser eingerichtet ist.

Der Aufruf von Thunderbird über die Kommandozeile mozilla-thunderbird -compose 'mailto:test@da.de`id`' bringt den Befehl id zur Ausführung. Die Ausgabe des Befehls Unix-Befehls id wird in die Ziel-Adresse eingebaut. Wiederum liegt der Fehler in dem Skript, das beim Programmaufruf ausgeführt wird. Die Eingabe wird hier nicht ausreichend überprüft.

Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann eine neue Thunderbird-Version mit der Fehlerbehebung veröffentlicht wird. Im Bugzilla-Eintrag zur Firefox-Lücke wird Thunderbird bisher noch nicht erwähnt.

Die Prof. Hellberg EDV-Beratung und IT-Consulting Hannover betreut Kunden, die OpenSource-Software in produktiven Bereichen erfolgreich einsetzen. Daher verfolgt die Prof. Hellberg EDV-Beratung die sicherheitsrelevanten Entwicklungen im OpenSource-Bereich mit großem Interesse. Wir werden weiter über diese Entwicklungen berichten!

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE


Mailadresse fuer Kontaktaufnahme