10. 05. 2013

Mailový klient Lotus Notes 8.5.3 nefiltruje <applet> tagy uvnitř HTML e-mailů. To lze využít k načtení libovolného Java skriptu ze vzdáleného počítače. Pak lze v kombinaci se známými chybami zabezpečení Java získat přístup k informacím, nebo spustit http požadavek, když si uživatel zobrazí e-mail. Viz Security Bulletin CVE-2013-0127, CVE-2013-0538.

Možná řešení: Opravné balíčky, kde je provádění Java appletů blokováno pro HTML e-maily viz Notes 8.5.3 FP4 Interim Fix 1 a Notes 9.0 Interim Fix 1.

Alternativně: vypněte provedení Java appletů pomocí EnableJavaApplets = 0 příkazem v souboru notes.ini. Také je doporučeno vypnout LiveConnet pomocí EnableLiveConnect = 0, protože to poskytuje další způsob, jak spustit kód v Javě, i když je nastaven EnableJavaApplets na nulu.

Nebo z menu: File -> Preferences -> Basic Notes Client Preferences GUI zrušit zaškrtnutí "Enable Java applets" a "Enable Java access from JavaScript".

Pokud je stále povoleno provádění Java appletů pro interní e-maily, je důrazně doporučeno, tuto funkci vypnout bez ohledu na provedení výše uvedené opravy.