Kritische Sicherheitslücke in CMailServer entdeckt

Über eine Schwachstelle im POP3 Active-X-Control von CMailServer können Angreifer beliebigen Schadcode in betroffene Systeme einschleusen.

Nach einem Bericht der Sicherheitsexperten von Secunia wurde die Schwachstelle in Version 5.4.6 nachgewiesen. Andere Versionen von CMailServer sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht beim Aufruf der Methode „MoveToFolder()“ durch einen Begrenzungsfehler im Active-X-Control „CMailCOM.dll“ der POP3 Klasse. Über eine entsprechend manipulierte POST-Anforderung können Angreifer einen Stack-basierten Pufferüberlauf auslösen und damit beliebigen Schadcode in ein betroffenes System einspeisen. Ein Patch ist bisher nicht bekannt. (vgw)