SR12-100 IBM - Sårbarhet i Lotus Notes

Sårbar hantering av URI:er kan utnyttjas för att exekvera godtycklig kod.

Problembeskrivning

CVE-referens: CVE-2012-2174

Moritz Jodeit har upptäckt en sårbarhet i IBM:s Lotus Notes. Sårbarheten beror på en otillräcklig hantering av URI:er och kan användas för att exekvera godtyckliga kod.

En angripare kan utnyttja sårbarheten genom att lura en användare att klicka på en riggad "notes://"-URI, typiskt genom en webbplats eller ett mejl.

Problemet ska vara åtgärdat i Lotus Notes 8.5.3 Fix Pack 2, som vid skrivande stund planeras att släppas i juli. Till dess har IBM släppt en s.k. "hotfix". För mer information läs IBM:s säkerhetsbulletin.

Påverkade versioner

• Lotus Notes 8.0.2, 8.5, 8.5.1, 8.5.2, 8.5.3

Mer information och programrättningar

http://www-304.ibm.com/support/docview.wss?uid=swg21598348
http://xforce.iss.net/xforce/xfdb/75320