Das insbesondere bei großen Firmen weit verbreitete Mail- und Workgroup-System Notes/Domino von IBM hat ein riesiges Sicherheitsproblem, das jetzt mit einem Update beseitigt werden soll. Schon beim Öffnen einer E-Mail kann ein Notes-Nutzer seinen PC mit Spionage-Software infizieren.
In Web-Seiten eingebettetes Java ist seit geraumer Zeit als potentielles Sicherheitsproblem in Verruf geraten; auch das ungefragte Ausführen von JavaScript-Code beim Lesen einer Mail kann unerwünschte Nebenwirkungen zeigen – also etwa Informationen darüber preisgeben, wann und wo eine Mail gelesen wird. Deshalb schalten eigentlich alle Mail-Programme bei der Anzeige von HTML-Mails sowohl JavaScript als auch Java ab. Nicht so IBMs Notes.
Doch jetzt hat auch IBM nach entsprechenden Hinweisen eines externen Sicherheitsspezialisten festgestellt, dass es ein Sicherheitsproblem darstellt, dass Notes-Clients ohne weitere Nachfragen Link ist nicht mehr aktiv. von externen Servern nachladen und ausführen. Insbesondere dann, wenn wie bei Lotus Notes standardmäßig eine Java-Umgebung installiert wird, in der bereits hoch kritische Sicherheitslücken bekannt sind (IBM Java 6 SR12).
Wer testen möchte, ob sein E-Mail-Client Java oder JavaScript ausführt, kann sich vom
Als Workaround kann man das auch händisch in der Konfiguration von Notes tun – etwa mit den folgenden Variablen in der Datei notes.ini:
IBM bewertet das Problem mit einem CVSS Base Score von 4.3; angesichts des Maximalwerts von10 also als minder problematisch. Der Entdecker der Lücke Alexander Klink von
In Web-Seiten eingebettetes Java ist seit geraumer Zeit als potentielles Sicherheitsproblem in Verruf geraten; auch das ungefragte Ausführen von JavaScript-Code beim Lesen einer Mail kann unerwünschte Nebenwirkungen zeigen – also etwa Informationen darüber preisgeben, wann und wo eine Mail gelesen wird. Deshalb schalten eigentlich alle Mail-Programme bei der Anzeige von HTML-Mails sowohl JavaScript als auch Java ab. Nicht so IBMs Notes.
Doch jetzt hat auch IBM nach entsprechenden Hinweisen eines externen Sicherheitsspezialisten festgestellt, dass es ein Sicherheitsproblem darstellt, dass Notes-Clients ohne weitere Nachfragen Link ist nicht mehr aktiv. von externen Servern nachladen und ausführen. Insbesondere dann, wenn wie bei Lotus Notes standardmäßig eine Java-Umgebung installiert wird, in der bereits hoch kritische Sicherheitslücken bekannt sind (IBM Java 6 SR12).
Wer testen möchte, ob sein E-Mail-Client Java oder JavaScript ausführt, kann sich vom
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
harmlose Test-Mails zusenden lassen. Bei den laut IBM betroffenen Versionen Notes 8.0.x, 8.5.x und 9.0 erscheint dabei dann unter Umständen ein roter Kasten mit dem Text "Aktiv!". "Interim Fixes" sollen dieses Problem jetzt beseitigen und diese Funktionen abstellen. Als Workaround kann man das auch händisch in der Konfiguration von Notes tun – etwa mit den folgenden Variablen in der Datei notes.ini:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
widerspricht dieser Einschätzung: "Auf diesem Weg können Angreifer PCs mit Notes-Clients übernehmen. Auf Grund der Verbreitung von Notes im Firmenumfeld stellt dies ein sehr attraktives Angriffsziel mit hohem Risikopotential dar." Administratoren von Lotus-Notes-Installationen sollten also schleunigst aktiv werden und die Clients absichern.
