○[pkgsrc] 続々 mutt

撃墜確認ｗ

本来はiconv(3)で失敗した時点で「ワッフルワッフル」でも[お察しください]でも

お好きな代替メッセージと差し替えた方が安全なんですよね。

あるいはbase64 decodeを実行する以前の[+/A-Za-z0-9]+のまま表示するとか。

ジャンクな不正バイト列を強制的に別の文字コードのマルチバイトとして解釈しようと考えるのは邪悪で

時に IEの文字コード自動判定 + UTF-7によるXSS脆弱性のようなウンコな事態を引き起こす元凶ちゅー

反省が念頭にあるのですのよな。

やっぱり「なんとなくだけどスパムの中身が読める」便利(?)よりも、ここは安全側に倒すべきとこだと思います。

＃ まぁ歴史的な問題で、MUAは文字化けメールを修復できて当たり前な風潮ありありなのも困りもんですが。

っても今回のmuttのコードが元で攻撃が可能ちゅう事はないんですが。

もし

From: ?Unkode-5.1?B?K0FEdz94bWwgdmVyc2lvbitBRDBBSWctMS4wK0FDSSBlbmNvZGluZytBRDBBSWct=?= =?Unkode-5.1?B?VVRGLTcrQUNJPytBRDRBUEEtaG9nZS8rQUQ0Cg==?=

ちゅーメッセージがもしも攻撃コードになりうるのなら

From: +ADw?xml version+AD0AIg-1.0+ACI encoding+AD0AIg-UTF-7+ACI?+AD4APA-hoge/+AD4

とか普通に送信してもヤバイわけでして :D

<?xml version="1.0" encoding="UTF-7"?><hoge/>

しかしmuttのようにコード変換に関するコードがあちこちに播種しとる状態の

パスタソースを弄る場合は、用心するに越したことないと思います。