Mange mailprogrammer tillader forfalsket afsender

Over 30 mailprogrammer har en sårbarhed, der gør det muligt at angive en falsk afsender og i nogle tilfælde afvikle programkode.

Sikkerhedsforsker Sabri Haddouche har opdaget en sårbarhed, han kalder Mailsploit. Angribere kan udnytte sårbarheden til at sende mails med forfalsket afsenderadresse – også selvom man bruger DMARC (Domain-based Message Authentication, Reporting & Conformance).

Sårbarheden ligger i mailprogrammernes behandling af RFC-1342. Det er en standard for, hvordan man angiver afsendernavne med andre tegnsæt end ASCII.

Angribere kan fx sende en mail med flere afsenderadresser i afsenderfeltet. De sårbare mailprogrammer viser kun den første, forfalskede adresse, men ikke den ægte, der står til sidst.

En anden sårbarhed går ud på at placere en byte med værdien nul i afsenderfeltet. Så holder nogle mailprogrammer op med at læse, hvad der står efter den byte.

Nogle mailprogrammer tjekker ikke, om der er script-kode i afsenderfeltet. På den måde kan en angriber afvikle programkode, når mailen vises.

Apple arbejder på at lukke hullet i Mail.app til macOS og iOS. MDet samme gælder Mail for Windows 10 og Microsoft Outlook. Yahoo Mail til iOS og Android er rettet. Gmail er ikke sårbar.

Anbefaling

Tjek den samlede liste over sårbare mailprogrammer.

Links