IBM Lotus Notes vulnerable a ejecución de código arbitrario

lotusnotes.pngLotus Notes de IBM es un cliente-servidor que incorpora correo electrónico, agenda, sistema de presentaciones, calendario y otras aplicaciones. Recientemente se ha reportado una vulnerabilidad que podría ser aprovechada por un usuario malintencionado para realizar un ataque de ejecución de código arbitrario.

El problema de seguridad se debe a un error al procesar correos electrónicos en HTML. Al momento de que un usuario recibe un nuevo correo en HTML éste se convierte en otro formato, y cuando se reenvían o se copia al portapapeles se convierten de nuevo al formato HTML. El atacante puede explotar esto para ejecutar código arbitrario a través de correos electrónicos maliciosamente modificados.

Las versiones 6.5.1, .65.3, 7.0.1 y 7.0.2 son propensas a este problema de seguridad. La versión 7.0.3 y 8.0 de IBM Lotus Notes ya solucionan esta vulnerabilidad.

Enlace | Lotus Notes buffer overflow vulnerability with HTML message

(vía: Hispasec)