Se ha descubierto un problema de seguridad en IBM Lotus Notes que podría ser aprovechado por un atacante para ejecutar código arbitrario.
Esta vulnerabilidad se debe a un error de desbordamiento de buffer a la hora de procesar correos electrónicos en html. Cuando un usuario recibe un correo electrónico en html, el código html se convierte a un formato similar a rtf. Cuando los mensajes son reenviados o copiados al portapapeles, se convierten de nuevo al formato del correo utilizando Cstrcpy. Un atacante podría aprovechar esto para ejecutar código arbitrario enviando correos electrónicos especialmente manipulados.
El problema afecta a las versiones Lotus Notes 6.5.1, 6.5.3, 7.0.1 y 7.0.2, y ha sido solventado en las versiones 7.0.3 y 8.0 disponibles para su descarga desde:
http://www-306.ibm.com/software/lotus/support/upgradecentral/index.html
laboratorio@hispasec.com
Más información:
IBM Lotus Notes Client TagAttributeListCopy Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=604
Lotus Notes buffer overflow vulnerability with HTML message
http://www-1.ibm.com/support/docview.wss?rs=477&uid=swg21272930
Deja una respuesta