Die Lücke betrifft den Classic Web Client von Zimbra und wurde laut Hersteller in der vergangene Woche angekündigten Aktualisierung behoben. Zimbra beschreibt den Fehler als gespeicherte Cross-Site-Scripting-Schwachstelle, über die bösartiger Code in eigens präparierte E-Mails eingebettet werden kann. Wird eine solche Nachricht geöffnet, kann der Code ausgeführt werden.
In seiner Mitteilung erklärt Zimbra, das Update behebe „ein Sicherheitsproblem im Classic Web Client, bei dem eine speziell gestaltete E-Mail beim Öffnen schädlichen Code ausführen konnte“. Bei einer Ausnutzung sei Zugriff auf Postfachinformationen, Sitzungsdaten oder Kontoeinstellungen möglich. Weitere technische Einzelheiten nannte das Unternehmen nicht.
Eine CVE-Nummer führt Zimbra bislang nicht an. Der Hersteller verweist stattdessen direkt auf das verfügbare Update und fordert Kunden, die den Classic Web Client nutzen, zu einer schnellen Aktualisierung auf. Das Unternehmen empfiehlt nachdrücklich ein Upgrade auf ZCS v10.1.19, um die neuesten Sicherheitskorrekturen, Fehlerbehebungen und Verbesserungen zu erhalten.
Behoben wurde die Schwachstelle in Zimbra Version 10.1.19, die am 7. Juli veröffentlicht wurde. Kunden, die von ZCS-Versionen 10.0.x, 9.0.x oder 8.8.15 aktualisieren, müssen nach Angaben des Unternehmens außerdem die SNMP-Abmilderung aktualisieren und sie nach Abschluss des Upgrades erneut anwenden.
Gemeldet wurde die Schwachstelle von der Google Threat Analysis Group, kurz GTIG. Diese Gruppe entdeckt typischerweise Sicherheitslücken, die von staatlich unterstützten Gruppen und kommerziellen Spyware-Anbietern ins Visier genommen werden. Ob die nun geschlossene Zimbra-Lücke bereits aktiv ausgenutzt wurde, geht aus der Mitteilung jedoch nicht hervor.
Zimbra, früher unter dem Namen Zimbra Collaboration Suite bekannt, ist eine Kommunikationssoftware mit E-Mail-Server und Web-Client. Die Plattform deckt neben E-Mail auch Messaging, Dateifreigabe, Kalender- und Aufgabenfunktionen ab. Gerade weil die Schwachstelle im Web-Client beim Öffnen einer E-Mail greift, stuft Zimbra sie als kritisch ein.
