Schwere Sicherheitslücke in Lotus Notes

Bei der Lücke handelt es sich um einen Fehler in einem Java-Plugin. Das Ausnutzen der kritischen Sicherheitslücke erfordert, dass die Menu-Option “Enable Java access from JavaScript” aktiviert ist. Ist das der Fall, so kann ein Angreifer auf dem Rechner seines Opfers beliebigen Binärcode ausführen. Dazu muss der Hacker lediglich ein Java-Applet schreiben, das die betroffene Lücke nutzt, schreibt IBM auf seiner Seite.

Als nächstes wird das Java-Applet an eine Mail angehängt: Öffnet jemand mit einem betroffenen Lotus-Notes-System die Mail, wird der Schadcode ausgeführt. Beobachtet wurde diese Sicherheitslücke in den Lotus-Notes-Versionen 6.5.6 und 7.0.
IBM rät seinen Kunden die “Enable Java access from JavaScript” Option in Lotus Notes zu deaktivieren. (mr)