Qualcomm Eudora存在附件定位可预测漏洞

发布时间：2002-03-21
更新时间：2002-03-21
严重程度：中
威胁程度：普通用户访问权限
错误类型：设计错误
利用方式：服务器模式

BUGTRAQ ID：4306

受影响系统

Qualcomm Eudora 5.1
   - Microsoft Windows 2000 Workstation 0.0
   - Microsoft Windows 2000 Workstation 0.0SP1
   - Microsoft Windows 2000 Workstation 0.0SP2
   - Microsoft Windows 95 0.0
   - Microsoft Windows 98 0.0
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6
   - Microsoft Windows NT 4.0SP6a

详细描述
Eudora是windows下的邮件客户段程序，如果开启'Use Microsoft Viewer'选项可使用IE浏览器查看HTML邮件信息。

由于设计错误，Eudora把邮件的附件保存在可预测的程序安装目录上，攻击者可以利用IE等可执行文件漏洞来执行这些附件。

测试代码
见描述

解决方案
尚无

相关信息
Magnus Bodin <magnus@bodin.org>.
参考：http://online.securityfocus.com/archive/1/262704
http://www.securityfocus.com/bid/3867
相关主页：http://www.eudora.com/

最近严重漏洞

Qualcomm Eudora存在附件定位可预测漏洞