In den Maillinglisten Bugtraq und Full Disclosure berichtet derAustralier Paul Szabo, ueber zwei Sicherheitslecks in der Windows-Version von Eudora 6.0, worueber Angreifer Programmcode ausfuehren koennen. Das schon bekannte Sicherheitsloch in der Vorversion von Eudora, wurde auch nicht in der neuen Version behoben.Die eine Sicherheitslücke erlaubt es einem Angreifer, den Namen eines Anhangs so zu verändern, dass das Opfer glaubt, eine unkritische Datei zu öffnen. Tatsächlich führt das Opfer aber gefährlichen Programmcode aus, so dass der Angreifer enormen Schaden auf einem fremden System anrichten kann. Diese Sicherheitslücke ist nach Erkenntnissen von Paul Szabo bereits in den Vorversionen von Eudora 5.x enthalten gewesen, ohne dass dieser Fehler bereinigt wurde. Nun findet sich dieses Sicherheitsleck sogar in der aktuellen Windows-Version 6 von Eudora wieder.
Als weiteren Programmfehler soll Eudora 6.0 in der Windows-Version mit überlangen Dateinamen (mehr als 250 Zeichen) durch einen Puffer-Überlauf zum Absturz gebracht werden können. Womöglich lässt sich darüber auch Programmcode auf ein fremdes System schleusen und ausführen, was jedoch nicht abschließend geklärt wurde.
Qualcomm bietet derzeit keinen Patch für die Eudora-Versionen für die Windows-Plattformen an, um diese Sicherheitslücken zu bereinigen. Daher bleibt derzeit nur, potenziell gefährliche Dateitypen auf dem Mail-Server zu filtern oder auf einen anderen E-Mail-Client zu wechseln.