Webmail

Die Schwachstelle betrifft die Web-Oberfläche von Roundcube Webmail, einem über den Browser bedienten E-Mail-Programm. Der Fehler steckt in der Vorschaufunktion für Anhänge: Roundcube lässt auch Dateien vom Typ XML zur direkten Vorschau zu. Versendet ein Angreifer eine E-Mail mit einem präparierten XML-Anhang, kann er darüber Schadcode einschleusen, der im Browser des Opfers ausgeführt wird (Cross-Site-Scripting). Das geschieht im Sicherheitskontext der angemeldeten Sitzung des Nutzers, sodass der Angreifer Inhalte manipulieren und auf Daten innerhalb der Webmail-Oberfläche zugreifen kann. Ausgelöst wird der Angriff bereits dadurch, dass der Empfänger den Anhang anschaut. Betroffen sind Anwender, die Roundcube zum Lesen ihrer E-Mails nutzen; der Angriff lässt sich aus der Ferne allein durch das Zustellen einer entsprechend gestalteten Nachricht starten.