Böse Fehler in Datei-Viewern von Lotus Notes

13.02.2006
IBM Lotus hat Patches für ein halbes Dutzend schwere Fehler in seinem Groupware-Client Notes veröffentlicht. Diese stecken hauptsächlich in den Anzeigeprogrammen für Dateianhänge (Attachments).

Genauer handelt es sich um fünf Buffer Overflows und ein Directory-Traversal-Problem in den "Keyview"-Komponenten, auf die Notes zurückgreift. Ein Angreifer könnte damit jeweils die vollständige Kontrolle über einen attackierten PC erlangen. Betroffen sind Notes-Releases bis 6.5.4 beziehungsweise 7.0. Fehlerbereinigte Updates auf Version 6.5.5 und 7.0.1 stehen seit Dezember 2005 beziehungsweise seit letzter Woche zur Verfügung.

Weitere Details können Interessierte einem Advisory der dänischen Sicherheitsexperten von Secunia entnehmen. Auch von Big Blue selbst gibt es eine diesbezügliche Technote, die auch Workarounds für installierte ältere Versionen beschreibt. Allerdings verlieren Nutzer damit die Möglichkeit, angehängte Dateien direkt im Notes-Client anzuzeigen, da die Viewer einfach deaktiviert werden. (tc)