Sicherheitslücke

Notes lässt Java-Applets Amok laufen

IBM warnt vor einer Sicherheitslücke in aktuellen Versionen seiner Groupware Notes.

Der Notes-Client akzeptiert in HTML-Emails Tags für sowohl Java-Applets als auch für JavaScript, wie IBM in einem Security Advisory einräumt.

Notes 9 - aus Sicht von IBM der erste integrierte Client fürs Social Business.
Notes 9 - aus Sicht von IBM der erste integrierte Client fürs Social Business.
Foto: IBM

Betroffen sind die Version 8.x, 8.5.x und auch der allerneueste "Social Email Client" Notes 9 (den es jetzt auch auf Deutsch gibt). Damit lassen sich entfernte Java-Applets und Skripte ausführen.

IBM wird in Kürze Fixes für die Schwachstelle bereitstellen. Als Workaround empfiehlt es sich, bis dahin die Ausführung von Java und JavaScript innerhalb von Notes abzuschalten. Wie gefährlich die Sicherheitslücke tatsächlich ist, ist ein wenig unklar. In der Mailing List Full Disclosure heißt es, der Leser einer bösartig manipulierten HTML-Email könne "fully compromised" werden. Angesichts der zahlreichen Sandbox-Escape-Schwachstellen in Java ist in jedem Fall Vorsicht geboten. (Computerwoche/mje)