L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de IBM Lotus Notes : injection de Java et JavaScript dans les emails

Synthèse de la vulnérabilité 

Un attaquant peut envoyer un email contenant du code Java, LiveConnect ou JavaScript illicite, afin qu'il soit exécuté lorsque la victime ouvre sa boîte aux lettres IBM Lotus Notes.
Systèmes vulnérables : Notes.
Gravité de cette menace : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 02/05/2013.
Références de cette faille : BID-59589, BID-59590, CERTA-2013-AVI-286, CVE-2013-0127, CVE-2013-0538, n.runs-SA-2013.005, swg21633819, VIGILANCE-VUL-12740, VU#912420.

Description de la vulnérabilité 

Le client Lotus Notes affiche les emails HTML, en activant par défaut :
 - les applets Java
 - LiveConnect
 - le code JavaScript

Cependant, par exemple, si une version vulnérable du JRE est installée sur le système, le client Lotus Notes peut servir de vecteur d'attaque.

Un attaquant peut donc envoyer un email contenant du code Java, LiveConnect ou JavaScript illicite, afin qu'il soit exécuté lorsque la victime ouvre sa boîte aux lettres IBM Lotus Notes.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de menace informatique concerne les logiciels ou systèmes comme Notes.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de vulnérabilité informatique.

Solutions pour cette menace 

IBM Lotus Notes : version 9.0 Interim Fix 1.
La version 9.0 Interim Fix 1 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg21636023
  http://www-10.lotus.com/ldd/fixlist.nsf/Progress/$first?opendocument

IBM Lotus Notes : version 8.5.3 Fix Pack 4 Interim Fix 1.
La version 8.5.3 Fix Pack 4 Interim Fix 1 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg21636024&myns=swglotus&mynp=OCSSKTWP&mync=R
  http://www-10.lotus.com/ldd/fixlist.nsf/Progress/$first?opendocument

IBM Lotus Notes : contre-mesure pour Java et JavaScript.
Une contre-mesure consiste à désactiver Java et JavaScript :
 - dans Notes Basic Preferences, décocher :
     Enable Java applets
     Enable Java access from JavaScript
     Enable JavaScript
 - dans notes.ini file, utiliser :
     EnableJavaApplets=0
     EnableLiveConnect=0
     EnableJavaScript=0
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des bulletins de vulnérabilité de logiciel. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.