CH azonosító
CH-4320Angol cím
IBM Lotus Notes "cai" URI Handler VulnerabilityFelfedezés dátuma
2011.02.07.Súlyosság
MagasÖsszefoglaló
Az IBM Lotus Notes olyan sérülékenységét jelentették, amelyet kihasználva a támadók feltörhetik a felhasználó rendszerét.
Leírás
A sérülékenységet a “cai” URI kezelő hibája okozza, amely az rcplauncher.exe indítását teszi lehetővé tetszőleges parancssori kapcsolókkal. Ez kihasználható tetszőleges könyvtárak betöltésére a “–launcher.library” argumentum segítségével, pl. ha a felhasználó egy speciálisan megszerkesztett weboldalt vagy linket nyit meg.
A sérülékenység sikeres kihasználásával tetszőleges kód futtatható.
A sérülékenységet az IBM Lotus Notes 8.0.2 Fix Pack 6, 8.5.1 Fix Pack 5, és 8.5.2 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 43222