A continuación se transcribe la traducción que yo mismo he hecho del mensaje enviado por David Harris a la lista de distribución de correo de novedades sobre Pegasus Mail, el 30-07-98.

Un punto débil en los programas de correo de Microsoft y Netscape está siendo ampliamente publicitada en las news y en las listas de correo. Para decirlo en pocas palabras, la debilidad de estos productos permite potencialmente la ejecución de código malicioso por el simple hecho de descargar un mensaje con un attachment. Un buen resumen sobre el tema puede consultarse en: http://www.pcworld.com/pcwtoday/article/0,1510,7559,00.html Hemos hecho un examen exhaustivo del código equivalente en Pegasus Mail, y podemos confirmar que Pegasus Mail *no* es vulnerable a este particular ataque. Pegasus Mail gestiona los attachment de una forma diferente a los productos afectados de Netscape y Microsoft, y siempre chequea los límites de las longitudes de los nombres, en todos los casos.

En el curso de investigación de este problema, *hemos* descubierto un problema relacionado: hay situaciones imaginables en las que Pegasus Mail puede "cascar" cuando se encuentra con una clase particular de cabecera MIME formateada de forma incorrecta. El error no produce un desbordamiento del buffer, y por lo tanto no se produce ninguno de los problemas de seguridad que comentamos (los de Netscape y Microsoft). El "crash" mismo es lo peor que puede suceder. Hemos corregido este problema para la versión 3.01c de Pegasus Mail, que lanzaremos la próxima semana.

Repetimos: Pegasus Mail *no* es vulnerable al problema del que hablamos.

Centro de Documentación de Pegasus Mail © 1996-2004, Carlos Menéndez García © del texto original: 1998, David Harris © de la traducción: 1998, Carlos Menéndez García Última actualización: 8-05-2001