Risque
Exécution de code arbitraire.
Systèmes affectés
Cette vulnérabilité des versions 4.6.x et 5.x du client Lotus Notes est indépendante du système exploitation.
Résumé
Un utilisateur mal intentionné peut, à l'aide d'un formulaire Lotus (Stored Form) habilement construit et inséré dans un courrier électronique, faire exécuter du code par le client de son destinataire.
Description
Le client Notes possède un outil permettant de faciliter l'affichage de données dans un courrier. Il permet de saisir les informations qui seront envoyées dans le document à partir d'un formulaire. Il est aussi possible d'envoyer ce formulaire au destinataire du message pour le cas où ce dernier ne le possède pas encore.
Il est possible d'insérer des scripts (LotusScript par exemple) dans ces formulaires. Selon son paramétrage le client risque d'exécuter le script automatiquement à la réception du courrier.
Contournement provisoire
Utiliser les ECL (Execution Control List) comme indiqué dans l'avis de sécurité de Lotus :
http://www.notes.net/today.nsf/9148b29c86ffdcd385256658007aaa0f/3a9da544637a69b2852568310078b649?OpenDocument
Documentation
Bulletin de sécurité de Lotus :
http://support.lotus.com/sims2.nsf/eb5fbc0ab175cf0885256560005206cf/89e023ae7ee59e5d852569f90059fd5e?OpenDocument
