O Problema
O Java embarcado em páginas web vem, já há algum tempo, sendo criticado como um problema de segurança e a execução automática de código JavaScript quando um e-mail é aberto também pode gerar consequências não desejadas, já que a informação presente no sistema (quando e onde o e-mail foi lido) poderá ser compartilhada. É por esse motivo que todos os programas e-mails de programa desabilitam por padrão tanto o JavaScript quanto o Java quando estão exibindo conteúdo HTML... exceto o Notes da IBM.
Entretanto, depois de ouvir de um especialista em segurança sobre o problema, a IBM agora percebeu que projetar os clientes Notes para carregar e executar código JavaScript (e até mesmo applets Java) vindo de servidores externos sem pedir nenhum tipo de permissão, representa um risco de segurança. E vale ressaltar que o problema é maior ainda já que o Lotus Notes utiliza a versão IBM Java 6 SR12 desse ambiente, bastante conhecida por suas brechas de segurança crítica do Java.
Remendos Temporários
Mas nem tudo é tragédia. "Correções temporárias" já estão disponíveis e são capazes de impedir que as brechas se manifestem ao desabilitar essas funções. Os usuários também podem efetuar essas mudanças manualmente através das configurações do notes para contornar o problema. Por exemplo, o usuário pode editar o arquivo notes.ini e editar as seguintes variáveis abaixo adicionando um dígito zero:
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0
A IBM deu ao problema uma pontuação base de 4.3 no CVSS. Isso significa que essas brechas não foram reconhecidas pela companhia como ium problema sério, considerando que a pontuação máxima apra o registro no CVSS é de 10 pontos. Alexander Klink do n.runs, que descobriu essa vulnerabilidade, não concorda com a abordagem da IBM e afirma que "Atacantes podem utilizar isso para controlar os computadores com clientes Notes. Considerando o quão espalhado (pelo mundo) o Notes é utilizado nos negócios, ele é um alvo bem atrativo com um potencial de alto risco". Administradores executando sistemas com o Lotus Notes devem tomar as medidas necessárias para tornar seus clientes à salvo, o mais rápido possível.
Aqui no Brasil grandes empresas (principalmente governamentais) utilizam o Lotus Notes nas estações de trabalho de seus empregados. Adicione a isso uma enorme quantidade de acessos efetuada diariamente pelos funcionários de uma grande empresa via Lotus Notes, com as brechas de segurança presentes, e você terá uma ideia da real dimensão para esse problema.
É claro que, as grandes empresas possuem um setor de manutenção de TI relativamente bem estruturado, e sabendo do problema de ante-mão tomarão todas as providencias necessárias para minimizar os riscos. Agora é esperar que a IBM disponibilize o mais rápido possível a correção como atualização dessa ferramenta.
Saiba Mais:
- Heise Online: Huge Java hole in Lotus Notes (em Inglês)