Mehrere XSS-Schwachstellen in Squirrelmail behoben

Kurz nach Veröffentlichung der stabilen Version 1.4.9 des Webmail-Clients Squirrelmail am 2. Dezember haben die Entwickler nun 1.4.9a nachlegen müssen, um Cross-Site-Scripting-Lücken (XSS) zu schließen. So war es laut Fehlerbericht möglich, über präparierte Inhalte des mailto-Parameters in webmail.php sowie der session- und delete_draft-Parameter in compose.php XSS-Attacken durchzuführen. Auch der magicHTML-Filter ließ sich für diese Zwecke misbrauchen.

Darüberhinaus wurde die Verarbeitung von Mailanhängen aus Sicherheitsgründen angepasst. Zuvor ließ sich der MIME-Type eines Anhanges fälschen, was insbesondere in Kombination mit dem Internet Explorer zu einem Problem führen kann. Der Browser aus Redmond versucht, den MIME-Type an der Art des Inhalts zu erraten, und ignoriert den vom Server übermittelten Typen. Auf diese Weise kann der Browser ein Datei als harmloses Bild interpretieren, obwohl sie in Wirklichkeit HTML-Code enthält, der vom Browser nach dem Laden auch ausgeführt wird. Dieser Fehler ist nicht nur im Interner Explorer 6, sondern auch in Version 7 zu finden.

Siehe dazu auch:

• Cross site scripting in compose, draft & HTML mail viewing, Fehlerbericht von Squirrelmail
• Workaround for Internet Explorer MIME handling, Fehlerbericht von Squirrelmail

(dab)