133930

Update nötig: Lotus Notes hat eine Sicherheitslücke

24.06.2004 | 13:59 Uhr |

Ein Leck in den Versionen 6.03 und 6.5 der IBM-Groupware Lotus Notes ermöglicht es Angreifern, beliebigen Code auszuführen. Die Schwachstelle lässt sich ausnutzen, sobald betroffene Anwender ein manipuliertes HTML-Dokument in Notes öffnen, warnen die Experten des IT-Sicherheitsdienstleisters iDefense.

Ein Leck in den Versionen 6.03 und 6.5 der IBM-Groupware Lotus Notes ermöglicht es Angreifern, beliebigen Code auszuführen. Die Schwachstelle lässt sich ausnutzen, sobald betroffene Anwender ein manipuliertes HTML-Dokument in Notes öffnen, warnen die Experten des IT-Sicherheitsdienstleisters iDefense.

Das Problem liegt, so unsere Schwesterpublikation Computerwoche , in dem mit Notes angelegten URI (Uniform Resource Identifier) "notes:". Mit einem entsprechenden URL (Uniform Resource Locator) ist es den Experten zufolge aufgrund unzureichender Filterung möglich, den Pfad der Konfigurationsdatei "notes.ini" zu übergeben. Dieser kann auch auf einen fremden Rechner verweisen, von dem dann DLLs (Dynamic Link Libraries) nachgeladen werden können. In diesen lassen sich unter anderem Schadroutinen verbergen.

Zwar scheitern solche Angriffe nach Angaben von IBM, wenn die Verbindung zum angegriffenen Rechner über eine korrekt konfigurierte Firewall läuft. Der Hersteller empfiehlt jedoch das Update auf die Notes-Versionen 6.04 oder 6.52, die den Fehler nicht mehr aufweisen sollen.

Mehr Sicherheits-News auf PC-WELT

0 Kommentare zu diesem Artikel
133930