1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Alert! Lotus Notes mit riesigem Java-Loch

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 3. Mai 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.179
    Zustimmungen:
    2.690
    Punkte für Erfolge:
    113
    Beruf:
    Systemintegrator
    Ort:
    Астана
    Das insbesondere bei großen Firmen weit verbreitete Mail- und Workgroup-System Notes/Domino von IBM hat ein riesiges Sicherheitsproblem, das jetzt mit einem Update beseitigt werden soll. Schon beim Öffnen einer E-Mail kann ein Notes-Nutzer seinen PC mit Spionage-Software infizieren.
    In Web-Seiten eingebettetes Java ist seit geraumer Zeit als potentielles Sicherheitsproblem in Verruf geraten; auch das ungefragte Ausführen von JavaScript-Code beim Lesen einer Mail kann unerwünschte Nebenwirkungen zeigen – also etwa Informationen darüber preisgeben, wann und wo eine Mail gelesen wird. Deshalb schalten eigentlich alle Mail-Programme bei der Anzeige von HTML-Mails sowohl JavaScript als auch Java ab. Nicht so IBMs Notes.
    Doch jetzt hat auch IBM nach entsprechenden Hinweisen eines externen Sicherheitsspezialisten festgestellt, dass es ein Sicherheitsproblem darstellt, dass Notes-Clients ohne weitere Nachfragen

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    von externen Servern nachladen und ausführen. Insbesondere dann, wenn wie bei Lotus Notes standardmäßig eine Java-Umgebung installiert wird, in der bereits hoch kritische Sicherheitslücken bekannt sind (IBM Java 6 SR12).

    Wer testen möchte, ob sein E-Mail-Client Java oder JavaScript ausführt, kann sich vom

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    harmlose Test-Mails zusenden lassen. Bei den laut IBM betroffenen Versionen Notes 8.0.x, 8.5.x und 9.0 erscheint dabei dann unter Umständen ein roter Kasten mit dem Text "Aktiv!". "Interim Fixes" sollen dieses Problem jetzt beseitigen und diese Funktionen abstellen.

    Als Workaround kann man das auch händisch in der Konfiguration von Notes tun – etwa mit den folgenden Variablen in der Datei notes.ini:


    Code:
    EnableJavaApplets=0
    EnableLiveConnect=0
    EnableJavaScript=0
    IBM bewertet das Problem mit einem CVSS Base Score von 4.3; angesichts des Maximalwerts von10 also als minder problematisch. Der Entdecker der Lücke Alexander Klink von

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    widerspricht dieser Einschätzung: "Auf diesem Weg können Angreifer PCs mit Notes-Clients übernehmen. Auf Grund der Verbreitung von Notes im Firmenumfeld stellt dies ein sehr attraktives Angriffsziel mit hohem Risikopotential dar." Administratoren von Lotus-Notes-Installationen sollten also schleunigst aktiv werden und die Clients absichern.
     
    #1

Diese Seite empfehlen