Deutsch | English

Kritische Sicherheitslücke in IBM Lotus Notes

2. Mai 2013

Angesichts der Schwere der Lücke und der hohen Verbreitung des Mail- und Workgroup-Systems Lotus Notes von IBM bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie cxsecurity meldet, akzeptiert der E-Mail Client von Lotus Notes JavaScript-Code und <applet>-Tags im HTML-Code, wodurch es einem Angreifer ermöglicht wird, JavaScript-Code direkt auszuführen oder Java-Applets von externen Quellen nachzuladen.
Gepaart mit einem Ausbruch aus der Java-Sandbox, der mit der standardmäßig mitinstallierten Version 6 von Oracle Java auch trivial möglich sein sollte (vergleiche z.B.: Warnungen von CERT.at bezüglich Oracle Java), könnte somit das gesamte System mit bösartiger Software verseucht werden.
IBM hat dazu bereits ein Security Bulletin veröffentlicht.

Betroffene Systeme

  • IBM Lotus Notes 8.0.x
  • IBM Lotus Notes 8.5.x
  • IBM Lotus Notes 9.0

Abhilfe

Bis ein Patch für diese Lücke zur Verfügung gestellt wird, empfehlen wir die Ausführung von JavaScript und Java händisch zu unterbinden. Dies kann man durch Setzen der folgenden Optionen in der Konfigurationsdatei notes.ini erreichen:
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0

Allgemeiner Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung bei cxsecurity (Englisch)
http://cxsecurity.com/wlb/WLB-2013050001
IBM Security Bulletin (Englisch)
http://www-01.ibm.com/support/docview.wss?uid=swg21633819
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitslücken in Microsoft Office Outlook - Updates verfügbar
28. Juli 2017 | Beschreibung Microsoft ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
mehr ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:07
Haftungsausschluss