Actualidad

IBM advierte de vulnerabilidades en su programa de correo Notes

El fallo en IBM Notes permite ejecutar applets Java y código JavaScript sin advertir al usuario. Ya existe un parche para las versiones de Notes para Windows, mientras que los parches para Mac y sistemas Linux aun están en desarrollo.

IBM ha publicado un boletín de seguridad que cubre dos vulnerabilidades recientemente encontradas en el cliente de correo Notes. Concretamente, el fallo detectado en las versiones 8, 8.5 y 9 de IBM Notes permitiría cargar contenido Java y JavaScript remoto en los correos electrónicos que se lean o previsualicen.

La publicación del boletín de seguridad sobre IBM Notes ha sido coordinada junto al descubridor de los fallos, Alexander Klink, de la firma n.runs, quien ha publicado los detalles técnicos en la lista Full Disclosure. En ellos se explica que, al abrir o previsualizar un correo en formato HTML, IBM Notes no filtra los applets y los ejecuta, lo que, en principio, ya conlleva una posible revelación de información, puesto que al cargar el contenido se genera una petición HTTP que quedaría registrada en el servidor remoto.

A ello se suman los fallos de seguridad que permiten saltar la sandbox en Java, lo que podría permitir la ejecución de código remoto con tan solo previsualizar un mensaje de correo. De hecho, la versión 8.5.3 de IBM Notes viene acompañada de IBM Java 6 SR12, una versión de Java que, según Klink, contiene 20 vulnerabilidades que no han sido solucionadas y pueden permitir la ejecución de código remoto.

A pesar del riesgo potencial, en el boletín oficial IBM ha dado a las vulnerabilidades una nota CVSS de solo 4.3, considerando que solo afecta parcialmente a la integridad del sistema.

Como remedio temporal, tanto Klink como IBM recomiendan desactivar la carga de contenido Java y JavaScript en IBM Notes. De momento, ya hay un parche para las versiones de Windows, mientras que los parches para Mac y sistemas Linux aun están en desarrollo.


TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper