受影响系统：

Horde MIME Viewer <3.0.7

不受影响系统：

Horde MIME Viewer 3.0.7

描述：

IMP是一款基于Web的邮件程序，由Horde项目组开发，可用在Linux/Unix或Microsoft Windows操作系统下，MIME是用于显示其内嵌附件的浏览器。

Horde IMP内部MIME浏览器在处理gzip格式的附件时存在漏洞，远程攻击者可能利用此漏洞影响浏览器的操作。

Horde IMP及其内部MIME浏览器默认下不允许显示嵌入消息，因此不会显示可能包含有恶意代码的HTML页面。如果向用户强制显示了恶意附件的话，就会过滤掉HTML页面。同样对使用gzip压缩的文件也做了类似的处理。但是，Horde Mime浏览器错误的处理了gzip嵌入附件。浏览器仅是解压了这些文件并显示为IMP中的嵌入代码。因此，如果压缩文件中包含有JavaScript之类的恶意代码的话，攻击者就可以执行任意代码，导致操控Web界面，删除消息或窃取cookies。

补丁下载：

* Horde Upgrade horde-3.0.7.tar.gz
ftp://ftp.horde.org/pub/horde/horde-3.0.7.tar.gz