IBM ha
anunciado la corrección de tres vulnerabilidades en iNotes 9.0, que podrían
permitir la construcción de ataques de cross-site scripting o de ejecución de código arbitrario.
IBM iNotes (anteriormente
conocido como IBM Lotus iNotes) es una versión basada en web del cliente de
Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el
navegador al correo electrónico, el calendario y los contactos de Notes, así
como el acceso a las aplicaciones y herramientas empresariales.
Las dos primeras vulnerabilidades
(CVE-2013-3032
y CVE-2013-3990)
pueden permitir la realización de ataques
de cross-site scripting. Esto permite a usuarios remotos la ejecución arbitraria
de código script en el navegador del usuario. Con ello el atacante podría
acceder a las cookies (incluyendo las de autenticación) y a información
recientemente enviada, además de poder realizar acciones en el sitio haciéndose
pasar por la víctima.
Una tercera vulnerabilidad (CVE-2013-3027)
reside en un desbordamiento de entero en el control ActiveX DWA9W, que podría
permitir a un atacante la ejecución de código
arbitrario en los sistemas afectados.
El CLSID del control vulnerable es:
41E1E2E4-5715-45fa-8E86-7E9331A8769B.
IBM ha publicado una actualización para solucionar estos problemas
con Domino release 9.0 Interim Fix 3, disponible desde:
Más información:
Security Bulletin: IBM iNotes vulnerabilities
(CVE-2013-3027, CVE-2013-3032, CVE-2013-3990)
Antonio Ropero
Twitter: @aropero