Gefahr durch Pufferüberlauf in Lotus iNotes
Das ActiveX-Control für Web-Mail kann schon beim Öffnen einer präparierten Web-Seite das System von Notes-Anwendern mit Schadsoftware infizieren.
Das ActiveX-Control von Lotus iNotes zum Lesen der E-Mail via Browser enthält einen Programmierfehler, der zu einem Pufferüberlauf führen kann. Dies könnte ein Angreifer ausnutzen, indem er eine Web-Seite so präpariert, dass sie beim Öffnen das System eines Besuchers mit iNotes etwa mit Spionage-Software infiziert.
Lotus iNotes, früher als Lotus Domino Web Access vermarktet, stellt Notes-Usern einen Web-Zugang zu ihrem Mail-Konto bereit. Dazu installiert es ein ActiveX-Control, das nach der ersten Benutzung aktiviert ist und dann von beliebigen Web-Seiten aufgerufen und damit auch angegriffen werden kann. Genaue Angaben, welche Versionen betroffen sind, macht IBM nicht; in den Versionen 7.0.4 and 8.5 soll der Fehler jedoch bereits behoben sein. Als Workaround empfiehlt der Hersteller, das ActiveX-Control via Kill-Bit stillzulegen oder ActiveX ganz abzuschalten.
Interessant ist auch die Geschichte dieses Sicherheitsproblems. iDefense erklärt, man habe es bereits im September 2008 – also vor anderthalb Jahren – bei IBM gemeldet. Warum erst jetzt diesbezügliche Sicherheitswarnungen veröffentlicht werden, lässt sich den Ausführungen nicht entnehmen.
Siehe dazu auch:
- Buffer Overflow Vulnerability in Lotus iNotes ActiveX Control, Alert-Meldung von IBM
- IBM Lotus Domino Web Access ActiveX Stack Buffer Overflow Vulnerability, Sicherheitsnotiz von iDefense
(ju)
