Sicherheitslücke

Notes lässt Java-Applets Amok laufen

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
IBM warnt vor einer Sicherheitslücke in aktuellen Versionen seiner Groupware Notes.
Notes 9 - aus Sicht von IBM der erste integrierte Client fürs Social Business.
Notes 9 - aus Sicht von IBM der erste integrierte Client fürs Social Business.
Foto: IBM

Der Notes-Client akzeptiert in HTML-Emails Tags für sowohl Java-Applets als auch für JavaScript, wie IBM in einem Security Advisory einräumt. Betroffen sind die Version 8.x, 8.5.x und auch der allerneueste "Social Email Client" Notes 9 (den es jetzt auch auf Deutsch gibt). Damit lassen sich entfernte Java-Applets und Skripte ausführen.

IBM wird in Kürze Fixes für die Schwachstelle bereitstellen. Als Workaround empfiehlt es sich, bis dahin die Ausführung von Java und JavaScript innerhalb von Notes abzuschalten. Wie gefährlich die Sicherheitslücke tatsächlich ist, ist ein wenig unklar. In der Mailing List Full Disclosure heißt es, der Leser einer bösartig manipulierten HTML-Email könne "fully compromised" werden. Angesichts der zahlreichen Sandbox-Escape-Schwachstellen in Java ist in jedem Fall Vorsicht geboten.