Lücke in IBMs Webkonferenzlösung Lotus Sametime

Der Sicherheitsdienstleister iDefense hat eine kritische Sicherheitslücke in IBMs Lösung für Webkonferenzen Lotus Sametime gemeldet, mit der Angreifer die Kontrolle über einen PC übernehmen können. Die Ursache des Problems ist die fehlende Prüfung einer Funktion eines ActiveX-Controls (STJNILoader.ocx), das weitere Funktionsbibliotheken nachladen kann. Dabei wird offenbar der angegebene Pfad nicht geprüft, sodass beliebige, auf dem System vorhandene Bibliotheken eingebunden werden können. Ein Angreifer könnte dies zum Laden und Ausführen von Schadsoftware ausnutzen. Für einen erfolgreichen Angriff muss ein Opfer deshalb aber nicht nur eine bösartige Webseite besuchen, sondern auch noch eine präparierte Datei herunterladen und speichern.

Allerdings muss die Datei keine spezifische Endung haben, damit sie vom Control geladen werden kann. Der Anwender kann also im Glauben, etwa eine unverdächtige TXT-Datei zu speichern, eine bösartige Datei auf dem Sytem ablegen. Betroffen ist Sametime 7.0 mit dem Control STJNILoader.ocx version 3.1.0.26. Nach Angaben von IBM wird seit Lotus Sametime 7.5 statt des ActiveX-Control Java zur Initialisierung der Webkonferenz verwendet. Für Version 7.0 stellt der Hersteller ein Update bereit.

Laut iDefense muss für einen erfolgreichen Angriff Lotus Sametime nicht zwingenderweise komplett installiert sein, nur das Control muss auf dem Rechner vorhanden sein. Sofern es fehlt, würde eine bösartige Seite die Installation vorschlagen und gegegebenfalls durchführen. Als Lösung schlägt iDefense vor, ActiveX abzuschalten oder für das Control das Kill-Bit zu setzen, damit es nicht ausgeführt werden kann.

Siehe dazu auch:

• IBM Lotus Sametime JNILoader Vulnerability, Sicherheitsmeldung von IBM
• IBM Lotus Sametime JNILoader Arbitrary DLL Load Vulnerability, Fehlerbericht von iDefense

(dab)