Durch eine Sicherheitsluecke in IBMs Groupware-Loesung Lotus Notes koennen Angreifer unter bestimmten Umstaenden verwundbaren Clients dazu bringen, beliebigen Code ueber das Netzwerk zu laden und auszufuehren. Dazu genuegt es, ein manipuliertes HTML-Dokument zu oeffnen. Die Schwachstelle ist in den Versionen 6.0.3 und 6.5 zu finden. IBM hat dazu ein Advisory (idefense.com) veroeffentlicht und weist darauf hin, dass der Fehler in 6.0.4 and 6.5.2 behoben ist.
Quelle: heise.de
zum glueck ist sicherheitsluecke meiner meinung nach eher unkritisch, da aufwendig; vor allem auch kann ja nur zu einem host im eigenen netz umgeleitet werden. prinzipiell sehe ich die moeglichkeit das ini file bzw das data directory auch mittels unc pfaden angeben zu koennen aber eher als feature…
trotzdem kann ich soetwas gar nicht brauchen; mal eben einen neuen notes client auszurollen macht wenig spass – in richtung security patches kann sich ibm noch einiges von z.b. microsoft abschauen – aber gut, die haben auch weit mehr uebung 😉