Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Eudora 6.0 es vulnerable al robo de archivos
 
VSantivirus No. 1166 Año 7, Martes 16 de setiembre de 2003

Eudora 6.0 es vulnerable al robo de archivos
http://www.vsantivirus.com/ev-eudora6-attach-spoof.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/


[Publicado con autorización de Enciclopedia Virus]

Eudora 6.0, la última versión del popular cliente de correo electrónico, puede ser vulnerable al robo de información a través de un correo electrónico con archivos adjuntos falsos.

Eudora 6.0 es la última versión del popular programa de correo electrónico desarrollado por Qualcomm, recientemente liberado al público (setiembre de 2003).

Según Paul Szabo de la Escuela de Matemáticas y estadísticas de la Universidad de Sydney, Australia, esta versión de Eudora contiene aún algunas fallas muy graves, algunas de ellas similares a las reportadas por él en noviembre de 2002.

El manejo malicioso de los adjuntos, puede engañar al Eudora para que un atacante pueda robar ciertos archivos de la computadora del usuario, o incluso para ejecutar un archivo en forma local, comprometiendo seriamente su seguridad.

Una de las fallas fue comunicada a Qualcomm en mayo de 2003, y permanece sin solución en la última versión del programa, liberada oficialmente el 4 de setiembre de 2003.

Uno de los errores se basa en el manejo de nombres de archivos excesivamente largos (250 caracteres o más), que puede causar un desbordamiento de búfer. Esto ocasiona el cuelgue del programa, o incluso la ejecución de código en forma arbitraria.

También es posible hacer que el Eudora muestre un nombre diferente al del verdadero adjunto, engañando a los usuarios para que ejecuten archivos maliciosos.

El 13 de setiembre fue publicada una prueba de concepto en Internet que podría ser utilizada por usuarios maliciosos para crear un exploit o alguna clase de malware.

No hay solución oficial para este problema.


Enlaces:

BugTraq, Eudora 6.0 attachment spoof, exploit, Sep 13 2003 5:19AM
http://www.securityfocus.com/archive/1/337429/2003-09-12/2003-09-18/1

Eudora
http://www.eudora.com

Qualcomm
http://www.qualcomm.com/press/pr/releases2003/press1250.html


(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php

Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=287



Relacionados:

Ejecución automática de adjuntos en Eudora e IE
http://www.vsantivirus.com/vul-webbrowser.htm

Denegación de servicio en Eudora 5.1
http://www.vsantivirus.com/vul-eudora-adjuntos.htm

Vulnerabilidad permite el robo de archivos en Eudora
http://www.vsantivirus.com/vul-eudora-script.htm

Autoejecución engañosa de adjuntos en Eudora
http://www.vsantivirus.com/vul-eudora-attach-spoof.htm

Ejecución de código sin consentimiento en Eudora 5.02
http://www.vsantivirus.com/vul-eu502.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS