Los expertos identifican un fallo de ejecución de código arbitrario en IBM Notes
IBM ha sido notificada sobre el agujero de seguridad y una solución será implementada estos días
Los investigadores de n.runs han identificado una vulnerabilidad de ejecución de código arbitrario en Notes de IBM (anteriormente conocido como Lotus Notes), el popular cliente de escritorio para empresas sociales. Las versiones 8.0.x, 8.5.x y 9.0 de la aplicación se ven afectadas.
Según los expertos, dado que el cliente de correo de Notes acepta el applet de Java y etiquetas de JavaScript dentro de mensajes de correo electrónico HTML sin filtrarlos, es posible que un atacante cargue aplicaciones Java desde ubicaciones remotas.
«Combinado con vulnerabilidades conocidas para eludir el entorno de seguridad de Java, puede ser utilizada para comprometer plenamente al usuario que lee el correo electrónico», escribieron los expertos en una entrada en Full Disclosure.
Mientras tanto, IBM aconseja a los usuarios que desactiven los applets de Java, el acceso de Java desde JavaScript, y JavaScript. Otra solución sería establecer las variables EnableJavaApplets, EnableLiveConnect y EnableJavaScript del archivo notes.ini en 0.