Lotus Notes schlampt bei JavaScript in RSS-Feeds

Wenn man aus einer unbekannten Quelle eine Datei mit potentiell schädlichem JavaScript bekommt – was wäre das Dümmste was man damit machen könnte? Man könnte das Script zum Beispiel lokal abspeichern und dann auf dem normalen Arbeitssystem mit dem Internet Explorer öffnen. Der Browser betrachtet das Skript dann nämlich als lokal installiert und lässt es in der dazugehörigen Sicherheitszone laufen. Das bedeutet, es darf so gut wie alles – also etwa beliebige lokale Dateien lesen oder auch ein komplettes Spionageprogramm aus dem Internet nachladen und starten.

Genau das macht Lotus Notes, wenn dessen einbauter RSS-Feed-Reader auf eingebettetes JavaScript stößt. Wer also damit einen potentiell bösartigen RSS-Feed abonniert hat, hat sich damit ein heftiges Sicherheitsloch eingehandelt. Interessant auch die aus der Timeline abzulesende Reaktion von IBM. Nachdem die Schweizer Firma Scip den IT-Riesen bereits im April über das Problem informiert hatte, erhielt sie nach eigenen Aussagen im August auf Nachfragen zum aktuellen Status keine Antwort mehr und veröffentlichte deshalb kürzlich eine Beschreibung des Problems unter anderem auf einer Sicherheits-Mailingliste.

Wenige Tage danach gibt es nun eine Antwort von IBM, in der der Hersteller die Existenz des Problems in der Standardkonfiguration von IBM Lotus Notes 8.x bestätigt. Es gäbe auch einen Patch, heißt es da; um den zu erhalten muss man jedoch einen Service Request beim IBM Support einreichen. In der Version 8.5.1 soll der Fehler auch behoben sein; wann die zu erwarten ist, lässt sich der Antwort jedoch nicht entnehmen. Update: Auf der Notes/Domino Fix List wird Oktober als anvisiertes Erscheinungsdatum genannt.

Siehe dazu auch

• IBM Lotus Notes 8.5 RSS Widget erweiterte Rechte, Beschreibung der scip AG
• Response to 'IBM Lotus Notes 8.5 RSS Widget Privilege Escalation', Antwort von IBM

(ju)