Сообщается о наличии уязвимостей в почтовом клиенте с открытым исходным кодом Evolution. Обе уязвимости связаны с сособенностями обработки данных, представленных в формате iCalendar. Первая уязвимость позволяет выполнить код злоумышленника в момент открытия специальным образом скомпонованного письма, содержащего приложение в формате iCalendar с некорректными данными в поле часового пояса. Уязвимость проявляется только при отключенном плагине форматирования вывода ITip. Вторая уязвимость позволяет выполнить код злоумышленника при попытке ответить из окна "Calendars" на письмо с iCalendar запросом, содержащим слишком длинное значение свойства "DESCRIPTION". Наличие уязвимостей подтверждено в Evolution 2.22.1 и более ранних версиях. 26 мая был выпущен релиз 2.22.2 в который также не были внесены исправления, так как уведомление разработчикам было отправлено 27 мая.
Описание на Secunia