09.01.2001

Стало известно о дыре в безопасности одной из самых популярных почтовых программ под Windows – The Bat! Она проявляется, если этот почтовый клиент использует опцию сохранения прикрепленных к письмам файлов в отдельном каталоге, определяемом пользователем, позволяя добавлять любые файлы в любую директорию того диска, на котором находится этот каталог.
The Bat! не позволяет именам прикрепленных файлов содержать символ «\», если они определены как чистый текст. Однако данная проверка не выполняется, когда имя файла определено как «encoded-word» в соответствии с RFC 2047. Однако заменять существующие на жестком диске файлы таким образом в большинстве случаев невозможно, если только в фильтрах программы не выбрана опция «overwrite file».
Rit Labs, которой сообщили об этой ошибке еще 21 декабря, последний ответ дала 22 декабря, сообщив о готовности патча, который, впрочем, до сих пор недоступен, а в последней, доступной на сайте, данная ошибка еще проявляется. Пользователям пока можно порекомендовать лишь отключить опцию «File attachment stored separate from message».

Источник: Журнал "Компьютерра"