Lotus Notes mit riesigem Java-Loch
Bereits das Öffnen einer Mail kann dazu führen, dass Notes-Nutzer ihren PC mit Spionage-Software infizieren. Ein Update von IBM soll das Ausführen von Java und JavaScript jetzt abschalten.
(Bild: heisec EMailcheck )
Das insbesondere bei großen Firmen weit verbreitete Mail- und Workgroup-System Notes/Domino von IBM hat ein riesiges Sicherheitsproblem, das jetzt mit einem Update beseitigt werden soll. Schon beim Öffnen einer E-Mail kann ein Notes-Nutzer seinen PC mit Spionage-Software infizieren.
In Web-Seiten eingebettetes Java ist seit geraumer Zeit als potentielles Sicherheitsproblem in Verruf geraten; auch das ungefragte Ausführen von JavaScript-Code beim Lesen einer Mail kann unerwünschte Nebenwirkungen zeigen – also etwa Informationen darüber preisgeben, wann und wo eine Mail gelesen wird. Deshalb schalten eigentlich alle Mail-Programme bei der Anzeige von HTML-Mails sowohl JavaScript als auch Java ab. Nicht so IBMs Notes.
Doch jetzt hat auch IBM nach entsprechenden Hinweisen eines externen Sicherheitsspezialisten festgestellt, dass es ein Sicherheitsproblem darstellt, dass Notes-Clients ohne weitere Nachfragen JavaScript-Code und sogar Java-Applets von externen Servern nachladen und ausführen. Insbesondere dann, wenn wie bei Lotus Notes standardmäßig eine Java-Umgebung installiert wird, in der bereits hoch kritische Sicherheitslücken bekannt sind (IBM Java 6 SR12).
Wer testen möchte, ob sein E-Mail-Client Java oder JavaScript ausführt, kann sich vom heise Security E-Mail-Check harmlose Test-Mails zusenden lassen. Bei den laut IBM betroffenen Versionen Notes 8.0.x, 8.5.x und 9.0 erscheint dabei dann unter Umständen ein roter Kasten mit dem Text "Aktiv!". "Interim Fixes" sollen dieses Problem jetzt beseitigen und diese Funktionen abstellen. Als Workaround kann man das auch händisch in der Konfiguration von Notes tun – etwa mit den folgenden Variablen in der Datei notes.ini:
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0
IBM bewertet das Problem mit einem CVSS Base Score von 4.3; angesichts des Maximalwerts von10 also als minder problematisch. Der Entdecker der Lücke Alexander Klink von nruns widerspricht dieser Einschätzung: "Auf diesem Weg können Angreifer PCs mit Notes-Clients übernehmen. Auf Grund der Verbreitung von Notes im Firmenumfeld stellt dies ein sehr attraktives Angriffsziel mit hohem Risikopotential dar." Administratoren von Lotus-Notes-Installationen sollten also schleunigst aktiv werden und die Clients absichern.
Testen Sie Ihren Mail-Client mit:
- HTML-Mails im heise Security E-Mail-Check
(ju)
