Security Lab

Обход ограничений безопасности в IBM Lotus Notes

Дата публикации:20.02.2008
Всего просмотров:2520
Опасность:
Низкая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM Lotus Notes 6.x
IBM Lotus Notes 7.x
IBM Lotus Notes 8.x
Уязвимые версии: IBM Lotus Notes 6.0, 6.5, 7.0 и 8.0

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за ошибки при обработке Java апплетов. Злоумышленник может отправить пользователю в письме неподписанный Java апплет, если пользователь перенаправит письмо другому пользователю, апплет станет подписанным пользователем, перенаправившим письмо. Злоумышленник может обойти ограничения механизма ECL (Execution Control List ). Для успешной эксплуатации уязвимости требуется, чтобы у получателя перенаправленного письма была включена опция "Enable Java Applets" и ECL настройки позволяли отправителю выполнение Java кода, и чтобы отправитель письма был доверенным для подписи Java апплетов.

URL производителя: www.ibm.com

Решение: Производитель рекомендует отключить опцию "Enable Java Applets".

Ссылки: Java applet signatures and the Execution Control List