Active-X-Komponente offen für Angriffe

Sicherheitslücke in EasyMail Spam Inspektor entdeckt

Über eine Sicherheitslücke im Active-X-Objekt von EasyMail Spam Inspektor können Angreifer beliebigen Schadcode einschleusen und ausführen.

Laut einem Bericht der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 4.0.354 von EasyMail Spam Inspektor auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. EasyMail Spam Inspektor ist eine externe Erweiterung für Outlook E-Mail-Clients, um die Spamflut einzudämmen. Die Sicherheitslücke entsteht im Active-X-Element "EasyMail SMTP" in der Funktion "SubmitToExpress()". Durch gezielte Manipulation von Parametern, die an diese Methode übergeben werden, können Angreifer einen Stack-basierten Pufferüberlauf auslösen. Dieser lässt sich zur Einspeisung und Ausführung von Schadcode auf einem betroffenen System verwenden. Ein Update liegt bislang nicht vor. (vgw)