Roma – Alcune versioni del celebre client di posta elettronica di Qualcomm, Eudora, soffrono di un problema di sicurezza che, secondo gli esperti, potrebbero renderle facile bersaglio dei cracker.
La società di sicurezza che ha scoperto il bug, la giapponese SecurNet Services (SNS), ha spiegato in un recente advisory che le versioni 5.x di Eudora contengono un buffer non verificato nella funzione Reply-To-All (Rispondi a tutti): questa infatti non verifica correttamente la lunghezza della stringa contenuta nei campi From: e Reply-To: .
Un aggressore potrebbe sfruttare il bug per inviare ad un utente una e-mail malevola che, se rispedita attraverso la funzione Reply-To-All , genera un buffer overflow ed esegue del codice qualsiasi con gli stessi privilegi dell’utente locale.
SNS afferma che il problema è stato risolto da Qualcomm a partire dalla recente versione 6.0 di Eudora in lingua inglese, scaricabile da qui : la localizzazione italiana, disponibile presso alcuni distributori nazionali , è per ora ferma alla release 5.0.2.
E’ curioso notare come questa vulnerabilità risalga addirittura al gennaio del 2003, dunque poco meno di un anno fa: SNS afferma infatti di aver ricevuto la conferma ufficiale che il baco era stato risolto solo lo scorso mese.
Eudora, che proprio di recente è giunto alla versione 6.0.1, costa circa 50 dollari, ma può essere utilizzato anche nella versione sponsorizzata, che visualizza un piccolo banner ed è priva delle funzionalità avanzate anti-spam, e nella versione “light”, priva di pubblicità ma con un minor insieme di funzioni.
Ti potrebbe interessare
13 nov 2003