Alert! IBM schließt fünf kritische Lücken in Lotus Notes

Der Sicherheitsdienstleister Secunia hat in IBMs Lotus Notes 6.x und 7.x sechs Sicherheitslücken entdeckt. Fünf davon beruhen auf Buffer Overflows, worüber sich laut der Fehlerbeschreibungen Schadprogramme in einen PC schleusen und mit Nutzerrechten ausführen lassen sollen. Ob dies in eigenen Tests gelungen ist, lässt Secunia offen. Laut IBM, die die Lücken in einem eigenen Advisory bestätigt, muss ein Opfer einen manipulierten Dateianhang öffnen, um sich etwa mit einem Trojaner zu infizieren. Der Hersteller hat die Fehler in den Versionen 6.5.5 und 7.0.1 beseitigt.

Zwei der Buffer Overflows sind in Routinen zur Inhaltsanzeige von ZIP- und TAR-Archiven zu finden, ein weiterer steckt in den Funktionen zum Encoden von UUE-Dateien. Als Alternative zum Patch schlägt IBM daher vor, die Anzeige einfach zu deaktivieren. Gleiches gilt für die zwei Pufferüberlaufe im HTML-Speedreader zur Anzeige von HTML-Dokumenten. Dazu soll der Anwender die verwundbaren Dateien kvarce.dll, uudrdr.dll, htmsr.dll und tarrdr.dll einfach per Hand löschen. Einzelheiten sind dem IBM-Advisory zu entnehmen.

Des Weiteren hat IBM vier Schwachstellen im Lotus Domino iNotes Client behoben, mit denen einem PC fremde JavaScripte untergeschoben werden konnten. Betroffen sind Lotus Domino 6.x, 7.x sowie Lotus Domino Web Access (iNotes) 6.x und 7.x.

Siehe dazu auch: (dab)

• IBM Lotus Notes Multiple Vulnerabilities, Fehleranalyse von Secunia
• Potential Buffer Overflow and Directory Traversal Vulnerabilities in Lotus Notes File Viewers, Fehlerreport von IBM
• IBM Lotus Domino iNotes Client Script Insertion Vulnerabilities, Fehleranalyse von Secunia
• Potential Script Insertion Vulnerabilities in Domino Web Access, Fehlerreport von IBM