IBM hat Java- und JavaScript-Lücken in Notes bestätigt

SicherheitSicherheitsmanagementSoftwareZusammenarbeit

Die Software Notes führt Applets und JavaScript-Code in Mails aus. Auf diese Weise können Angreifer Malware am Nutzer vorbeischmuggeln. IBM gibt Tipps für einen Workaround für alle Betriebssysteme. Einen Interims-Fix stellt der Konzern allerdings bisher nur für die Windows-Version bereit.

IBM hat die Sicherheitslücken in seiner Software IBM Notes bestätigt. Sie können dazu führen, dass E-Mails beigefügte Java-Applets und beigefügter JavaScript-Code automatisch ausgeführt werden. Betroffen sind die Versionen 8.0.x, 8.5.x und 9.0 des Nachfolgeprogramms von Lotus Notes.

security-sicherheit-shutterstock_FuzzBones

Das Workgroup-Programm ist eines der wenigen, die Java und JavaScript in Mails tatsächlich ausführen können. Aufgrund der fehlerhaften Implementierung ließe sich so allerdings auch bösartiger Code ausführen, ohne dass der Anwender dies überhaupt mitbekommt.

IBM hat die Sicherheitslücke mit 4,3 von 10 Punkten im Common Vulnerability Scoring System (CVSS) bewertet – also als kritisch eingestuft. Es stellt bis zur Beseitigung zwei einstweilige Patches für die Windows-Version von Notes bereit: Interim Fix 1 for Notes 8.5.3 Fix Pack 4 und Interim Fix 1 for Notes 9.0.

Fixes für Mac sind in Vorbereitung. Linux-Nutzern empfiehlt IBM, auf einen “Fix mit 8.5.3 Fix Pack 5 und 9.0.1 zu warten” oder ein Support-Center-Ticket zu eröffnen, falls man den Fix dringend benötigt. Außerdem schildert der Konzern in einem Workaround, wie sich die Gefahr vorläufig abstellen lässt – allerdings mit Einschränkungen beim Funktionsumfang von Notes.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen