fighting for truth, justice, and a kick-butt lotus notes experience.

Kritische Sicherheitsluecke in aktuellen Notes Clients

 Mai 2 2013 02:24:48 PM
Es existiert in den aktuellen Notes Versionen v8.x, v8.5.x und v9 ein aus meiner Sicht sehr kritisches Sicherheitsloch, welches es ermöglicht das aus HTML-Mails ungefragt Java Script bzw. Java-Applets nachgeladen und ausgeführt werden kann.
Über die Applets kann bei Clients mit einer alten IBM Java Runtime eine bekannte Java Sicherheitslücke ausgenutzt werden, über die die Gesamtkontrolle über den PC erlangt werden kann.

Für den Notes Client 8.5.3 FP4 ( http://www-01.ibm.com/support/docview.wss?uid=swg21636024 ) und 9 ( http://www-01.ibm.com/support/docview.wss?uid=swg21636023 ) hat die IBM heute ein Interims-Fix bereitgestellt.

Ansonsten ist zu empfehlen über einen Notes.ini Eintrag auf den Clients die Ausführung von Java Applets evt. auch von JavaScript im Notes Client zu deaktivieren:

EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0

Wer testen möchte, ob sein E-Mail-Client Java oder JavaScript ausführt, kann sich vom  heise Security E-Mail-Check eine harmlose Test-Mail zusenden lassen. Bei den laut IBM betroffenen Versionen Notes 8.0.x, 8.5.x und 9.0 erscheint dabei dann unter Umständen ein roter Kasten mit dem Text "Aktiv!".


 

Archive