Die Entdecker der Schwachstelle schrieben in einer Warnmeldung, dass das Projekt nicht mehr gepflegt würde. Es wird geraten von der Software abzurücken und einen anderen Webmailer einzusetzen.
Noch wurde der Schweregrad der Sicherheitslücke nicht eingestuft. Aus dem Beitrag der Forscher geht aber hervor, dass Angreifer nach erfolgreichen Attacken Schadcode auf dem zugrundeliegenden Server ausführen könnten, was in der Regel als „kritisch“ eingestuft wird. Außerdem heißt es, dass Angreifer mindestens authentifiziert sein müssen, um präparierte Mails verschicken zu können. Dann läge die Einstufung „hoch“ nahe. Anmeldeinformationen von Opfern könnten aber von den Angreifern im Klartext gesehen werden. Es reiche dafür aus, wenn das Opfer die Mail öffnet. Eine weitere Interaktion sei nicht nötig.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Business Security finden Sie hier.