News-Meldung vom 02.03.2010 11:35
Das ActiveX-Control von Lotus iNotes zum Lesen der E-Mail via Browser enthält einen Programmierfehler, der zu einem Pufferüberlauf führen kann. Dies könnte ein Angreifer ausnutzen, indem er eine Web-Seite so präpariert, dass sie beim Öffnen das System eines Besuchers mit iNotes etwa mit Spionage-Software infiziert.
Lotus iNotes, früher als Lotus Domino Web Access vermarktet, stellt Notes-Usern einen Web-Zugang zu ihrem Mail-Konto bereit. Dazu installiert es ein ActiveX-Control, das nach der ersten Benutzung aktiviert ist und dann von beliebigen Web-Seiten aufgerufen und damit auch angegriffen werden kann. Genaue Angaben, welche Versionen betroffen sind, macht IBM nicht; in den Versionen 7.0.4 and 8.5 soll der Fehler jedoch bereits behoben sein. Als Workaround empfiehlt der Hersteller, das ActiveX-Control via Kill-Bit stillzulegen oder ActiveX ganz abzuschalten.
Interessant ist auch die Geschichte dieses Sicherheitsproblems. iDefense erklärt, man habe es bereits im September 2008 – also vor anderthalb Jahren – bei IBM gemeldet. Warum erst jetzt diesbezügliche Sicherheitswarnungen veröffentlicht werden, lässt sich den Ausführungen nicht entnehmen.
Siehe dazu auch:
English Version: Buffer overflow in Lotus iNotes
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-943751
Themen-Forum Desktopsicherheit
Mehr zum Thema Sicherheitslücke Lotus Notes IBM
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
