Свежие дыры в Lotus Notes и Domino

Организация CERT представила весьма подробный отчет об уязвимостях, имеющихся в программных продуктах семейств Lotus Notes и Domino. Часть из них была обнаружена еще в феврале компанией NGS Software. В марте другая компания, Rapid7, обнаружила в пакетах Lotus еще целый букет уязвимостей разной степени опасности. Эффект от их использования хакерами может выражаться по-разному - от организации DoS-атак до выполнения скриптов на удаленном компьютере.

Большинство уязвимостей актуальны для клиентов Lotus Notes и серверов LotuS Domino версий младше 5.0.12 или 6.0 Gold/6.01. Главным образом, дыры связаны с наличием ошибок переполнения буфера в различных компонентах Notes и Domino. Подобные ошибки, вообще, являются наиболее распространенными причинами уязвимости программных продуктов для хакерских атак. В основном, бреши уже заделаны в обновленных версиях программ IBM с порядковыми номерами 5.0.12 и 6.01.

Единственным исключением является дыра, связанная с наличием ошибки переполнения буфера метода класса COM, описывающим элементы управления в Lotus Notes и Domino. Если хакер заманит пользователя на веб-страницу с вредоносным HTML-кодом или пришлет его в электронном письме, он сможет захватить управление компьютером. Первоначально об этой критической уязвимости сообщила в феврале фирма NGS Software. Тогда дыра была ошибочно отнесена к одному из модулей ActiveX компонента iNotes. Это, однако, лишь один из сценариев атаки. На самом деле, дыра неспецифична для iNotes или ActiveX. К счастью, IBM уже выпустила соответствующие патчи, которые рекомендуется незамедлительно установить всем пользователям Lotus Notes и Domino.

Подробнее о дырах в продуктах Lotus можно узнать на сайте CERT.