Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Ejecución de código arbitrario en IBM Lotus Notes 7.x y 8.x

Ejecución de código arbitrario en IBM Lotus Notes 7.x y 8.x

Por Deja un comentario

Se ha descubierto un problema de seguridad en IBM Lotus Notes que podría ser aprovechado por un atacante para ejecutar código arbitrario.

Esta vulnerabilidad se debe a un error de desbordamiento de buffer a la hora de procesar correos electrónicos en html. Cuando un usuario recibe un correo electrónico en html, el código html se convierte a un formato similar a rtf. Cuando los mensajes son reenviados o copiados al portapapeles, se convierten de nuevo al formato del correo utilizando Cstrcpy. Un atacante podría aprovechar esto para ejecutar código arbitrario enviando correos electrónicos especialmente manipulados.

El problema afecta a las versiones Lotus Notes 6.5.1, 6.5.3, 7.0.1 y 7.0.2, y ha sido solventado en las versiones 7.0.3 y 8.0 disponibles para su descarga desde:
http://www-306.ibm.com/software/lotus/support/upgradecentral/index.html

Laboratorio Hispasec
laboratorio@hispasec.com

Más información:

IBM Lotus Notes Client TagAttributeListCopy Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=604

Lotus Notes buffer overflow vulnerability with HTML message
http://www-1.ibm.com/support/docview.wss?rs=477&uid=swg21272930

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.