Deutsch | English

Kritische Sicherheitslücke in IBM Lotus Notes

2. Mai 2013

Angesichts der Schwere der Lücke und der hohen Verbreitung des Mail- und Workgroup-Systems Lotus Notes von IBM bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie cxsecurity meldet, akzeptiert der E-Mail Client von Lotus Notes JavaScript-Code und <applet>-Tags im HTML-Code, wodurch es einem Angreifer ermöglicht wird, JavaScript-Code direkt auszuführen oder Java-Applets von externen Quellen nachzuladen.
Gepaart mit einem Ausbruch aus der Java-Sandbox, der mit der standardmäßig mitinstallierten Version 6 von Oracle Java auch trivial möglich sein sollte (vergleiche z.B.: Warnungen von CERT.at bezüglich Oracle Java), könnte somit das gesamte System mit bösartiger Software verseucht werden.
IBM hat dazu bereits ein Security Bulletin veröffentlicht.

Betroffene Systeme

  • IBM Lotus Notes 8.0.x
  • IBM Lotus Notes 8.5.x
  • IBM Lotus Notes 9.0

Abhilfe

Bis ein Patch für diese Lücke zur Verfügung gestellt wird, empfehlen wir die Ausführung von JavaScript und Java händisch zu unterbinden. Dies kann man durch Setzen der folgenden Optionen in der Konfigurationsdatei notes.ini erreichen:
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0

Allgemeiner Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung bei cxsecurity (Englisch)
http://cxsecurity.com/wlb/WLB-2013050001
IBM Security Bulletin (Englisch)
http://www-01.ibm.com/support/docview.wss?uid=swg21633819
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
mehr ...
Petya Updates #3 - Die Hoffnung auf einen Kill-Switch
27. Juni 2017 | Petya ...
Petya Ransomware Outbreak #2
27. Juni 2017 | Wir haben ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:07
Haftungsausschluss