Risque
- Divulgation d'informations sur le système ;
- perte de confidentialité.
Systèmes affectés
Eudora 5.1 et les versions précédentes sous Microsoft Windows.
Des expériences ont été effectuées sur Mac OS 9.x, mais elles n'ont pas permis de mettre en évidence cette vulnérabilité. Sous Mac OS X, Eudora est en cours de développement, il est donc impossible de vérifier la possibilité de l'exploitation de cette vulnérabilité actuellement.
Ceci n'exclut pas la possibilité d'utiliser une variante de cette vulnérabilité à l'encontre du logiciel sous Mac OS.
Résumé
Une vulnérabilité du logiciel de messagerie Eudora permet à un utilisateur mal intentionné d'obtenir n'importe quel fichier présent sur le système de sa victime.
Description
Eudora est un logiciel de messagerie compatible avec le protocole SMTP. Les messages reçus sont rangés dans des boîtes aux lettres (un fichier par boîte aux lettres), et toutes les pièces jointes sont placées dans un même répertoire (appelé Attach sous Windows et Attachment Folder sous Mac OS).
Il existe une vulnérabilité dans la gestion des balises servant à gérer les pièces jointes sous Eudora.
Un utilisateur mal intentionné peut obtenir n'importe quel fichier présent sur le système de sa victime si elle utilise le logiciel de messagerie Eudora en amenant cette dernière à renvoyer le message qu'il a habilement construit.
Il faut pour celà que l'attaquant connaisse l'emplacement sur le système du fichier qu'il désire obtenir, et qu'il pousse sa victime à lui renvoyer (fonction forward) son message.
Contournement provisoire
En plus de la vigilance quotidienne concernant la messagerie, tous les utilisateurs du logiciel de messagerie Eudora doivent surveiller le contenu des messages qu'ils renvoient afin de voir s'il y a eu insertion d'une pièce jointe non désirée à leur insu.
Il n'existe pas de correctif à ce jour.
