Biuletyn bezpieczeństwa: IBM Notes akceptuje aplety Java i wstawki JavaScript wewnątrz wiadomości HTML (9.0 IF1, 8.5.3.4 IF1)


Akceptowanie apletów Java oraz wstawek w JavaScript wewnątrz kodu HTML wiadomości zagraża ładowaniem zdalnego kodu.

Tworzy to zagrożenie opisane poniżej:

CVE ID: CVE-2013-0127
CVSS Base Score: 4.3
CVSS Temporal Score: See http://xforce.iss.net/xforce/xfdb/83775 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:N/I:P/A:N)

CVE ID: CVE-2013-0538
CVSS Base Score: 4.3
CVSS Temporal Score: See http://xforce.iss.net/xforce/xfdb/83270 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/AU:N/C:N/I:P/A:N)

 

Zagrożenie dotyczy platform

IBM (Lotus) Notes 8.0.x, 8.5.x, 9.0

 

Zalecenia

Odpowiednie poprawki zostały udostępnione w dodatkach (na chwilę obecną tylko Windows, wkrótce Mac, a później Linux):

Interim Fix 1 for Notes 8.5.3 Fix Pack 4

Interim Fix 1 for Notes 9.0

 

Rozwiązanie tymczasowe

Opcja 1: W preferencjach Notes Basic, odznaczamy następujące opcje:

  • Enable Java applets
  • Enable Java access from JavaScript
  • Enable JavaScript


- lub -

Opcja 2: W pliku notes.ini ustawiamy:

  • EnableJavaApplets=0
  • EnableLiveConnect=0
  • EnableJavaScript=0