Lotus Notes schlampt bei JavaScript in RSS-Feeds
Manchmal passiert es, dass man sich eine potenziell schädigende Datei versehentlich beim Surfen durch ein JavaScript einfängt. Normalerweise sollte der Virenscanner das merken. Tut er es nicht und man speichert die Datei nun lokal ab und öffnet sie dann dummerweise später in einem Browser (z.B. mit dem Internet Explorer), passiert Folgendes: Da das Script lokal abgespeichert wurde und nun lokal geöffnet wird, greifen hier die Sicherheitseinstellungen der lokalen Sicherheitszone. Da lokal abgespeicherte Dateien normalerweise keine großen Sicherheitseinstellungen benötigen, haben sie hier freie Hand.
Das bedeutet, dass das bösartige Script nun beinahe alles darf. Es kann beliebige Dateien lesen, kopieren und wenn es dafür gemacht wurde, kann es sogar ein komplettes Spionageprogramm aus dem Internet downloaden und auch ausführen. Der Benutzer bekommt von all dem nichts mit. Und genau das passiert mit Lotus Notes, denn der hat einen eingebauten RSS-Feed-Reader. Und genau dieser speichert unter anderem JavaScripts lokal ab. Das Sicherheitsloch, welches man sich so eingehandelt hat, ist groß.
Die Schweizer Firma Scip hatte bereits im April IBM über das Problem aufgeklärt. Als dann Nachfragen an IBM rausgeschickt wurden, hat IBM einfach nicht mehr reagiert. Kurzerhand entschied sich dann Scip das vorhandene Problem zu veröffentlichen. Nachlesen kann man diese Beschreibung unter anderem auch auf einer Sicherheits-Mailingliste. Kurze Zeit später reagiert IBM und bestätigt das Problem, welches sich in den Standardkonfigurationen von IBM Lotus Notes 8x. festsetzte. Natürlich gibt es einen Patch um das Problem zu fixen, der ist jedoch nicht im Netz auffindbar, sondern man muss, um diesen zu erhalten, einen Service Request beim Support von IBM einreichen. Gut ist, dass das Problem in der neuen Version 8.5.1 behoben sein soll, doch bisher wusste man nicht mit Sicherheit wann man die neue Version zu erwarten hat. Nach neusten Ergebnissen jedoch ist der Termin jetzt sicher. Auf der Notes/Domino Fix List wird man ab Oktober die neuste Version erhalten können.
Mister-Wong
Google
Delicious
Austria
UK
USA
Denmark
Finland
Norway
Sweden