sábado, 10 de agosto de 2013

Corregidas tres vulnerabilidades en IBM iNotes

IBM ha anunciado la corrección de tres vulnerabilidades en iNotes 9.0, que podrían permitir la construcción de ataques de cross-site scripting o de ejecución de código arbitrario.

IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.

Las dos primeras vulnerabilidades (CVE-2013-3032 y CVE-2013-3990) pueden permitir la realización de ataques de cross-site scripting. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Una tercera vulnerabilidad (CVE-2013-3027) reside en un desbordamiento de entero en el control ActiveX DWA9W, que podría permitir a un atacante la ejecución de código arbitrario en los sistemas afectados.
El CLSID del control vulnerable es: 41E1E2E4-5715-45fa-8E86-7E9331A8769B.

IBM ha publicado una actualización para solucionar estos problemas con Domino release 9.0 Interim Fix 3, disponible desde:

Más información:

Security Bulletin: IBM iNotes vulnerabilities (CVE-2013-3027, CVE-2013-3032, CVE-2013-3990)


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada