Schweres Leck in Lotus Notes
Sicherheitsforscher melden einen schwerwiegenden Fehler in Lotus Notes, über den Angreifer beliebigen Code ausführen können.
Das meldet die Forscher von Core Security Technologies. Der Fehler liegt in der Software Autonomy KeyView. Dieses Programm verwendet Lotus Notes, um Dateien des Formats Lotus 1-2-3 zu verarbeiten. Das Programm unterstützt rund 300 verschiedene Dateiformate.
Die Forscher glauben, dass es für einen Hacker im Grunde kein Problem darstelle, den Fehler auszunutzen. Denn ähnlich gelagerte Lecks seien in KeyView für Lotus Notes schon früher aufgetaucht. Jemand, der die Entwicklung der Software genauer beobachte, könne daher sehr schnell auf das frisch entdeckte Leck stoßen, fürchten die Forscher.
Es seien jedoch über das Leck noch keine Details veröffentlicht worden und auch ein Exploit scheint derzeit noch nicht zu kursieren, glauben die Forscher. Dennoch könnte das Leck auch mit dem Fehler zusammenhängen, das vor wenigen Tagen in Symantecs Mail Security bei KeyView aufgetaucht ist. Noch seien aber keine Tests mit dem Konkurrenz-Produkt durchgeführt worden.
Inzwischen liegt von IBM ein Sicherheitsupdate für die Version Lotus Notes 7 vor. Anwendern, die auf anderen Versionen sind, empfiehlt IBM verschiedene Workarounds. So könne beispielsweise der Dateibetrachter deaktiviert werden.