XSS-Lücke in SquirrelMail geschlossen

Mit Version 1.4.17 beseitigen die Entwickler von SquirrelMail eine Cross-Site-Scripting-Lücke im Webmailer. Laut Fehlerbericht konnten die HTML-Filter mit fehlerhaftem HTML-Code in E-Mails überlistet werden, um so JavaScript im Browser eines Anwenders auszuführen, sobald dieser eine manipulierte E-Mail öffnet. Allerdings musste dazu die Option "Show HTML Version by Default" aktiviert sein. Mit dem Update verwendet die Software nun auch die richtigen Identitäten beim Antworten auf Mails. Außerdem soll der Webmailer nun nur noch bei wirklich sicheren Verbindungen auf Internet Information Servern (IIS) Session-Cookies mit gesetztem HTTPS-only-Flag senden.

0 Kommentar(e)

Zum Posten von Kommentaren bitte