|
Eudora оказалась не без греха
Популярные клиенты для работы с электронной почтой переживают не лучшие времена - в них постоянно обнаруживаются какие-то проблемы с безопасностью. Несколько раз отличался Outlook (благодаря взрывоопасному сочетанию HTML, JavaScript и VBScript), затем The Bat (позволявший злоумышленнику прислать письмо с фальшивой строкой X-BAT-FILES:), а теперь эпидемия ошибок докатилась и до Eudora. Профессиональный "охотник за багами" Беннетт Хаселтон (Bennett Haselton), вебмастер Peacefire.org, обнаружил и сообщил Qualcomm Inc. о лазейке для хакеров в ее почтовом клиенте. Полное объяснение можно найти здесь.
Ничего необычного в ошибке нет, это все те же грабли, на которые поочередно натыкаются разработчики, желающие снабдить свои почтовые клиенты поддержкой html. Злоумышленник вставляет в письмо URL, ссылающийся на .lnk файл на машине пользователя, и маскирует его при помощи onMouseOver (пользователь видит ссылку на обычную страничку в Интернете). При клике по ссылке .lnk файл запускает указанный в нем .exe и... вуаля, дело сделано. Если бы хакер попытался установить ссылку прямо на .exe, то Eudora предупредила бы пользователя об этом, а файлы .lnk она просто не считает опасными.
Баг будет исправлен в следующей версии Eudora 4.3.2, до выпуска которой пройдет еще как минимум несколько недель. Пока же Qualcomm настоятельно рекомендует пользователям самостоятельно отредактировать секцию [Settings] конфигурационного файла Eudora.ini, изменив одну строчку на WarnLaunchExtensions=exe|com|bat|cmd|pif|htm|do|xl|reg|lnk.
Computerra.Ru
|
