Boletines de Vulnerabilidades

IBM Notes ejecuta applets Java y código JavaScript sin advertir al usuario
Información sobre el sistema

Software afectado	IBM Notes 8, 8.5 y 9
Descripción
IBM ha publicado un boletín deseguridad sobre IBM Notes que cubre dos vulnerabilidades recientemente encontradas en el popular cliente de correo. La publicación ha sido coordinada junto al descubridor de los fallos, Alexander Klink, de la firma alemana n.runs, que a su vez ha publicado en la lista Full Disclosure los detalles técnicos. Al abrir o previsualizar un correo en formato HTML, IBM Notes no filtra las etiquetas . En principio, este comportamiento ya conlleva una posible revelación de información, puesto que al cargar el contenido se genera una petición HTTP que quedaría registrada en el servidor remoto. Si además tenemos en cuenta la cantidad de fallos de seguridad que permiten saltar la sandbox en Java, esto podría significar la ejecución de código remoto con tan solo previsualizar un e-mail. De hecho, la versión estudiada (8.5.3 FP3) viene acompañada de IBM Java 6 SR12. Tal y como dice Klink en su publicación, hay 20 vulnerabilidades en esta versión de Java con un CVSS de 10 que no han sido solucionadas y pueden permitir la ejecución de código remoto. A pesar del alto riesgo potencial, en el boletín oficial de IBM ha dado a las vulnerabilidades una nota CVSS de solo 4.3, considerando que solo afecta parcialmente a la integridad del sistema. Probablemente se han basado en el hecho de la ejecución de los applets en sí, y no han ido más allá considerando el riesgo potencial que conlleva este problema en una máquina virtual con tantos fallos de seguridad. Klink ha puesto a disposición del público una dirección de correo. Al escribir un email a esta cuenta, se recibe un mensaje automático de prueba que carga un applet Java remoto para comprobar si el sistema es vulnerable. La dirección se puede encontrar en su aviso.
Identificadores estándar
Propiedad	Valor
CVE