IBM Notes ejecuta código arbitrario Java y Javascript en emails

0

 

IBM Notes

Se ha publicado una incidencia en n.runs AG security advisory, una compañía especializada en seguridad IT, la cual describe como la aplicación Notes de IBM -un gestor de correo al estilo Outlook- ejecuta código java/javascripct de forma predefinida al visualizar emails.

DESCRIPCIÓN

El informe de “n.runs” establece lo siguiente:

Notes 8.5.3 no filtra las identidades <applet> contenidas en el html de los emails. Esto puede usarse para cargar código arbitrario mediante applets de Java de fuentes remotas (permitiendo la fuga de información, ya que esto también puede aprovecharse para lanzar una solicitud http una vez el email es previsualizado/ visualizado)

Más detalles son descritos en el citado documento n.runs AG security advisory. Es importante señalar que el último JRE (entorno virtual Java) incluído en Notes es el IBM JRE 6 SR12 while IBM JRE 6 SR13, el cual contiene muchas correciones en materia de seguridad.

IMPACTO

Un ataque remoto sin autenticación podría llevarse a cabo ejecutando código malicioso en el contexto de un usuario que visualiza emails en IBM Notes.

SOLUCIÓN

Ejecutar actualización

En el boletín de información de IBM se menciona lo siguiente:

El parche será incluído en Interim Fix 1 para 8.5.3 Pack 4 y 9.0 Interim Fix 1. Este parche desactiva la carga automática de applets JAVA de emails desde internet. Por favor considere los siguientes métodos si logra actualizar. También se recomienda a todos los usuarios que no necesiten de Java o Javascript en Notes.

Las siguientes directivas deberían ser establecidas en “cero” en notes.ini para reducir la superficie del ataque.

  • EnableJavaApplets=0
  • EnableJavaScript=0
  • EnableLiveConnect=0

Aunque no es necesario para mitigar este problema, si los plugins no son necesarios recomendamos lo siguiente para desactivarlos.

  • EnablePlugins=0

De forma alternativa, en las “preferencias básicas” de Notes, deseleccionar las siguientes opciones:

  • Activar applets Java
  • Activar acceso Java desde Javascript
  • Activar Javascript
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR