Удаленное переполнение буфера нескольких IMAP клиентах, написанных на С и С++

Обнаружено две уязвимости в IMAP клиентах, написанных на C и C++:

1. Обработка literal огромных размеров. Множество клиентов используют malloc(literal_size+1) и затем читают это в literal. Проблема состоит в том, что, если literal_size равен UINT_MAX-1, произойдет +1 переполнение в malloc(0), но сервер позволит записать еще UINT_MAX-1 байт данных.
2. Обработка почтовых ящиков огромных размеров (большое значение EXISTS в ответе). Множество клиентов используют malloc(messages_count * sizeof(struct message)) и читают данные в это.
   Для успешной эксплуатации требуется, чтобы клиент соединился со злонамеренным IMAP сервером.

          |   1     |     2      |
---------------------------------------------------------------------
c-client  | crash   | full       | Pine, UW-imapd
Evolution | full    | -          |
kmail     | -       | -          | Nothing obvious at least
Mozilla   | full    | - (1)      |
mutt      | -       | limited(2) | Balsa also includes mutt's IMAP code
Sylpheed  | crash   | -          |
OE6       | crash(3)| -          |
Eudora    | full    | -          | "..0x41414141 .. could not be written"

 
imap-2002b and Pine 4.53 are vulnerable. imap-2002c is fixed.

Evolution 1.2.4 is vulnerable. 1.3.2 (beta) is fixed.

Mozilla 1.3 and 1.4a are vulnerable. 1.3.1 and 1.4b fixed 1).

mutt 1.4.1 and Balsa 2.0.10 are "vulnerable". Doesn't look exploitable, 
don't worry too much about it.

Sylpheed 0.8.11 (including -claws) is "vulnerable". Just a crash, 
don't worry about it.

Outlook Express 6.00.2800.1106 was tested to be "vulnerable". 
Apparently just a crash. Fix is in next OE service pack.

Eudora 5.2.1 is vulnerable. No replies to bug report I sent.