Notes har Java-sårbarhed

Artiklen blev oprindeligt publiceret den 2/5/2013

Mail-klienten i Notes afvikler Java-applets uden at advare brugeren. En rettelse er på vej fra IBM.

Sårbarheden ligger i Notes-klienten, der accepterer applets i teksten i en e-mail. En angriber kan udnytte sårbarheden ved at sende en mail, der indeholder en applet, som udnytter kendte sikkerhedshuller i Java. Derved kan angriberen potentielt afvikle skadelige programmer på offerets pc.

Notes 8.5.3 FP3 leveres med en gammel og sårbar version af IBM's Java. Dermed er der flere alvorlige sikkerhedshuller, som kan udnyttes via hullet i Notes-klienten.

Fejlen bliver rettet i Notes 8.5.3 FP4 Interim Fix 1 og Notes 9.0 Interim Fix 1. Øjensynlig er rettelserne ikke udsendt endnu.

Indtil rettelserne er klar, kan man slå afvikling af Java-applets fra i Notes. Det kan få indflydelse på egenudviklede programmer, der anvender Java.

Anbefaling
Installer rettelserne, når de udkommer. Slå applets fra i Notes, hvis I ikke anvender funktionen.

Links

• IBM Lotus Notes - arbitrary code execution, advarsel fra firmaet N.runs
• Security Bulletin: IBM Notes accepts Java applet and JavaScript tags inside HTML emails, advarsel fra IBM
• Notes/Domino Fix List