Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • IBM Lotus Notes 6.x ;
  • IBM Lotus Notes 7.x.

Résumé

De multiples vulnérabilités sont présentes dans IBM Lotus Notes permettant à un utilisateur malintentionné distant de provoquer un déni de service, d'atteindre à la confidentialité des données ou d'exécuter du code arbitraire.

Description

Quatre vulnérabilités sont présentes dans le logiciel de messagerie Lotus Notes de IBM :

  • la première est due à une erreur dans la mise en œuvre de visualiseurs externes de fichiers : mifsr.dll, awsr.dll, kpagrdr.dll, exesr.dll,rtfsr.dll, mwsr.dll,wp6sr.dll, lsar.dll. Cette faille peut être exploitée par le biais d'une pièce jointe construite de façon particulière et peut conduire à de l'exécution de code arbitraire à distance ;
  • la seconde vulnérabilité est relative à une erreur dans la mise en œuvre des courriers au format HTML et peut conduire à de l'exécution de code arbitraire par le biais d'un courrier particulier ;
  • la troisième est relative à une mauvaise gestion de la liste de contrôle d'exécution (ECL) et permet l'exécution d'une pièce jointe sans contrôle ou avertissement de l'application ;
  • la dernière vulnérabilité concerne un manque de restrictions sur certaines zones de mémoire partagée et permet à un utilisateur local d'accéder aux données d'autres utilisateurs locaux.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation