Eudora-lus allerede rettet

Det ble i forrige uke oppdaget en feil i e-postprogrammet Eudora Pro som på en relativt enkel måte kan gi uvedkommende muligheten til å eksekvere vedlagt programvare på brukerens PC. Qualcomm har allerede kommet med en feilfiks.

Richard Smith, en utvikler ved Phar Lap Software i USA, kunne i forrige uke melde at han hadde funnet en lus i Qualcomms e-postprogram, Eudora Pro 4.0x.

Smith oppdaget at det var mulig for ham å skrive et JavaScript som skjuler ikonet Eudora viser for en vedlagt programfil og oppretter i stedet en uskyldig weblenke som peker til den skjulte filen. Vedlegget forblir passivt inntil brukeren klikker på lenken, men kan da aktivere ethvert program som er blitt vedlagt meldingen.

Denne feilen bygger på Eudoras mulighet til å lese e-postmeldinger som om de skulle være websider ved å la brukerne inkludere aktive HTML-pekere og JavaScript-applikasjoner i e-postmeldingene.

Ifølge Smith er JavaScript-applikasjonen relativt komplisert å lage, slik at ikke hvem som helst kan reprodusere applikasjonen. Men med en gang koden kommer i omløp, kan til og med relativt uerfarne brukere utnytte den.

Ifølge Qualcomm skal det kun være Windows-utgavene av Eudora Pro 4.0 og 4.0.1, samt Eudora Pro CommCenter 4.0 og 4.0.1, som har feilen.

QualComm har allerede kommet med en feilfiks, som kan hentes ned fra selskapets nettsted. Denne oppgraderer Eudora Pro 4.x til versjon 4.0.2.

Det finnes omtrent 10 millioner registrerte brukere av Eudora Pro 4.x.

(Kilder: TechWeb, Wall Street Journal, QualComm)

Til toppen