Webmail

Die Schwachstelle steckt im Webmail-Programm Roundcube, genauer in der Funktion message_body() innerhalb der Komponente, die eingehende Nachrichten zur Anzeige aufbereitet (program/actions/mail/show.php). Dort werden bestimmte gefährliche Inhalte einer E-Mail nicht zuverlässig entschärft – ein bereits bereinigter Inhalt wird also wieder in einen ausführbaren Zustand zurückversetzt (Desanitization). Dadurch lässt sich aus der Ferne schädlicher Skriptcode einschleusen, der im Browser des Opfers ausgeführt wird (Cross-Site-Scripting). Der Angriff erfolgt über eine eigens präparierte E-Mail: Sobald das Opfer diese Nachricht im Webmail öffnet und betrachtet, läuft der Schadcode in dessen angemeldeter Sitzung. Damit kann der Angreifer im Namen des Opfers handeln – insbesondere dessen E-Mails auslesen und sogar selbst E-Mails versenden. Betroffen sind Nutzer, die das Roundcube-Webmail über den Browser bedienen; eine Benutzerinteraktion beschränkt sich auf das bloße Öffnen der Nachricht.