IBM Lotus Notes bis 8.5 RSS Widget erweiterte Rechte • scip AG VulDB

VulDB: IBM Lotus Notes bis 8.5 RSS Widget erweiterte Rechte

Allgemein

scipID: 4021
Betroffen: IBM Lotus Notes bis 8.5
Veröffentlicht: 08.09.2009 (Marc Ruef, scip AG)
Risiko: kritisch

Beschreibung

Taxierung der Schwachstelle

Lotus Notes ist ein System für das Management und die Verarbeitung auch wenig strukturierter Informationen in elektronischer Form für einen heterogenen Anwenderkreis. Marc Ruef der scip AG fand einen Designfehler in Lotus Notes 8.5. Das für das Einlesen von RSS-Feeds dargebotene Widget weist eine kritische Schwachstelle auf. Der Inhalt des RSS-Feeds wird heruntergeladen und die einzelnen Items lokal abgespeichert. Für die Anzeige derer wird der Internet Explorer verwendet. Dieser benutzt hierfür die Rechte der Lokalen Zone, wodurch erweiterte Rechte erlangt werden könnten. So lassen sich damit durch einen korrupten RSS-Feed eingebettete Scripte ausführen oder Objekte einbetten. Der Hersteller wurde frühzeitig über das Problem informiert und hat mit einem Hotfix reagiert. In der im Oktober 2009 erscheinenden Version 8.5.1 wird das Problem ebenfalls behoben sein.

Fehler wie diese sind auf das Fehlen einer durchdachten Software-Architektur zurückzuführen. Die Entwickler haben es versäumt, die Tragweite ihrer Design-Entscheidung zu berücksichtigen. Durch die Verkettung dieser unglücklichen Umstände wird es damit möglich, einen Angriff auf den RSS-Reader umzusetzen.