Kritische Sicherheitslücken in Lotus Notes

Zwei Schwachstellen in den Versionen 6.03 und 6.5 von Lotus Notes können für Cross-Site-Scripting und das Ausführen beliebigen Codes missbraucht werden.

Die erste Schwachstelle funktioniert nur, wenn der Benutzer ein manipuliertes HTML-Dokument in Notes öffnet oder einem präparierten Link folg, heißt es im zugehörigen Security-Report von tecCHANNEL.

Ein Fehler bei der Überprüfung von Eingaben in der Behandlunsgroutine für URI lässt sich ausnutzen, um beliebigen Code auf dem attackierten System auszuführen, indem man einen Client per remote Konfigurationsdatei ("notes.ini") über einen UNC-Pfad anbindet. Die Konfigurationsdatei enthält dann einen Verweis auf ein entferntes Datenverzeichnis mit speziell präparierten DLLs, die geladen werden. Das IBM-Advisory zu der Lücke finden Sie hier.

Desweiteren weisen die betroffenen Lotus-Versionen einen nicht näher spezifizierter Fehler bei der Überprüfung von Eingaben auf, der sich laut Hinweis des Herstellers IBM für Cross-Site-Scripting-Attacken gegen Benutzer missbrauchen lässt. Mit dem Update auf die Notes-Versionen 6.04 oder 6.52 sollen die Fehler laut IBM behoben sein..

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba)