viernes, 3 de mayo de 2013

IBM Notes ejecuta applets Java y código JavaScript sin advertir al usuario

IBM ha publicado un boletín de seguridad donde advierte de un fallo en su programa de correo Notes en sus versión 8, 8.5 y 9. El fallo permite cargar contenido Java y JavaScript remoto en los e-mails que se lean o previsualicen.

IBM ha publicado un boletín deseguridad sobre IBM Notes que cubre dos vulnerabilidades recientemente encontradas en el popular cliente de correo. La publicación ha sido coordinada junto al descubridor de los fallos, Alexander Klink, de la firma alemana n.runs, que a su vez ha publicado en la lista Full Disclosure los detalles técnicos.

Al abrir o previsualizar un correo en formato HTML, IBM Notes no filtra las etiquetas <applet>. En principio, este comportamiento ya conlleva una posible revelación de información, puesto que al cargar el contenido se genera una petición HTTP que quedaría registrada en el servidor remoto.

Si además tenemos en cuenta la cantidad de fallos de seguridad que permiten saltar la sandbox en Java, esto podría significar la ejecución de código remoto con tan solo previsualizar un e-mail. De hecho, la versión estudiada (8.5.3 FP3) viene acompañada de IBM Java 6 SR12. Tal y como dice Klink en su publicación, hay 20 vulnerabilidades en esta versión de Java con un CVSS de 10 que no han sido solucionadas y pueden permitir la ejecución de código remoto.

A pesar del alto riesgo potencial, en el boletín oficial de IBM ha dado a las vulnerabilidades una nota CVSS de solo 4.3, considerando que solo afecta parcialmente a la integridad del sistema. Probablemente se han basado en el hecho de la ejecución de los applets en sí, y no han ido más allá considerando el riesgo potencial que conlleva este problema en una máquina virtual con tantos fallos de seguridad.

Klink ha puesto a disposición del público una dirección de correo. Al escribir un email a esta cuenta, se recibe un mensaje automático de prueba que carga un applet Java remoto para comprobar si el sistema es vulnerable. La dirección se puede encontrar en su aviso.

Como remedio temporal, tanto Klink como IBM recomiendan desactivar la carga de contenido Java y JavaScript, ya sea a través de las preferencias de Notes o editando el fichero notes.ini de la siguiente forma:

EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0

IBM advierte que esta configuración puede afectar a contenido Java o JavaScript en los plugins de Notes.

Ya existe un parche para las versiones de Notes para Windows, mientras que los parches para Mac y sistemas Linux aun están en desarrollo.

Más información:

Security Bulletin: IBM Notes accepts Java applet and JavaScript tags
inside HTML emails (CVE-2013-0127, CVE-2013-0538)

n.runs-SA-2013.005 - IBM Lotus Notes - arbitrary code execution



Francisco López

2 comentarios: