Webmailer

Cross-Site Scripting gegen SquirrelMail möglich

Die Sicherheitsexperten von Secunia haben eine kritische Schwachstelle in der Webmailing-Software SquirrelMail gemeldet.

Die Sicherheitslücke lässt sich für so genannte Cross-Site-Scripting-Angriffe ausnutzen. In Mails eingebetteter HTML-Code wird nicht ausreichend überprüft, bevor die Software diesen anzeigt. Somit könnte sich in der Browsersitzung eines Anwenders beliebiger HTML- oder Script-Code ausführen lassen, wenn er eine speziell präparierte E-Mail öffnet.

Ein erfolgreicher Angriff setzt voraus, dass die Option „Show HTML Version by Default“ aktiviert ist. Bestätigt ist die Sicherheitslücke für SquirrelMail 1.4.16 und 1.4.15. Frühere Varianten könnten ebenfalls betroffen sein. Derzeit gibt es kein Sicherheitsupdate. Der Hersteller will allerdings noch heute eine fehlerbereinigte Variante zur Verfügung stellen. (jdo)