sábado, 24 de marzo de 2001

Vulnerabilidad en Eudora 5.02

Una vulnerabilidad detectada en el cliente de correo Eudora 5.02 permite
la ejecución de un archivo al leer el mensaje recibido sin que el
destinatario sea avisado de ello.
Para que se pueda explotar esta vulnerabilidad del Eudora 5.02, es
necesario tener Microsoft Internet Explorer como navegador
predeterminado para la lectura de mensajes html (a través de la opción
"use Microsoft viewer" del lector de correo). Igualmente el visor web
deberá tener habilitado las opciones "mostrar imágenes" y "Ejecutar
programas y archivo en IFRAME".

El ataque se basa en engañar al navegador con dos falsas imágenes, la
primera incluye el ejecutable malicioso mientras que la segunda contiene
una llamada a un programa simple en Javascript y un control ActiveX. Con
esta estrategia el programa conseguiría la ejecución del archivo ".exe"
simulado en la primera imagen.

La peligrosidad de esta vulnerabilidad es evidente, debido a que cada
día es mas fácil encontrar por Internet lugares donde encontrar virus,
gusanos etc, que pueden facilitar la explotación de este tipo de
problemas y dejan la seguridad de nuestras máquinas en entredicho.

Mientras sale a la luz pública un parche que evite este problema,
aconsejamos a los usuarios del cliente de correo Eudora en su versión
5.02 que desactiven del lector de correo la opción "use Microsoft
viewer"

Un ejemplo del mensaje HTML, que explotaría la mencionada vulnerabilidad
quedaría de la siguiente forma.

≶img SRC="cid:archivo.malicioso" style="display:none">
≶img id=W0W src="cid:malware.com" style="display:none">≶BR>
≶center>≶h6>Mensaje malicioso para Eudora≶/h6>≶/center>
≶IFRAME id=malware width=10 height=10 style="display:none">≶/IFRAME>

≶script>
// 18.03.01 http://www.malware.com/
malware.location.href=W0W.src
≶/script>



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Problemas en Eudora 5.02:
http://www.net-security.org/text/bugs/985136999,53955,.shtml