• Lotus Notes: Enorme Brecha de Segurança no Java

    O Notes/Domino da IBM, um sistema de e-mail e grupo de trabalho bastante popular em grandes empresas, possui uma enorme brecha de segurança que deve ser corrigida o mais breve possível através de uma atualização. Para se ter uma ideia do tamanho do problema, apenas a abertura de um e-mail pode inicializar a instalação de um spyware no Notes instalado no computador do usuário.


    O Problema

    O Java embarcado em páginas web vem, já há algum tempo, sendo criticado como um problema de segurança e a execução automática de código JavaScript quando um e-mail é aberto também pode gerar consequências não desejadas, já que a informação presente no sistema (quando e onde o e-mail foi lido) poderá ser compartilhada. É por esse motivo que todos os programas e-mails de programa desabilitam por padrão tanto o JavaScript quanto o Java quando estão exibindo conteúdo HTML... exceto o Notes da IBM.

    Entretanto, depois de ouvir de um especialista em segurança sobre o problema, a IBM agora percebeu que projetar os clientes Notes para carregar e executar código JavaScript (e até mesmo applets Java) vindo de servidores externos sem pedir nenhum tipo de permissão, representa um risco de segurança. E vale ressaltar que o problema é maior ainda já que o Lotus Notes utiliza a versão IBM Java 6 SR12 desse ambiente, bastante conhecida por suas brechas de segurança crítica do Java.

    Remendos Temporários

    Mas nem tudo é tragédia. "Correções temporárias" já estão disponíveis e são capazes de impedir que as brechas se manifestem ao desabilitar essas funções. Os usuários também podem efetuar essas mudanças manualmente através das configurações do notes para contornar o problema. Por exemplo, o usuário pode editar o arquivo notes.ini e editar as seguintes variáveis abaixo adicionando um dígito zero:

    EnableJavaApplets=0
    EnableLiveConnect=0
    EnableJavaScript=0


    A IBM deu ao problema uma pontuação base de 4.3 no CVSS. Isso significa que essas brechas não foram reconhecidas pela companhia como ium problema sério, considerando que a pontuação máxima apra o registro no CVSS é de 10 pontos. Alexander Klink do n.runs, que descobriu essa vulnerabilidade, não concorda com a abordagem da IBM e afirma que "Atacantes podem utilizar isso para controlar os computadores com clientes Notes. Considerando o quão espalhado (pelo mundo) o Notes é utilizado nos negócios, ele é um alvo bem atrativo com um potencial de alto risco". Administradores executando sistemas com o Lotus Notes devem tomar as medidas necessárias para tornar seus clientes à salvo, o mais rápido possível.

    Aqui no Brasil grandes empresas (principalmente governamentais) utilizam o Lotus Notes nas estações de trabalho de seus empregados. Adicione a isso uma enorme quantidade de acessos efetuada diariamente pelos funcionários de uma grande empresa via Lotus Notes, com as brechas de segurança presentes, e você terá uma ideia da real dimensão para esse problema.

    É claro que, as grandes empresas possuem um setor de manutenção de TI relativamente bem estruturado, e sabendo do problema de ante-mão tomarão todas as providencias necessárias para minimizar os riscos. Agora é esperar que a IBM disponibilize o mais rápido possível a correção como atualização dessa ferramenta.

    Saiba Mais:

    - Heise Online: Huge Java hole in Lotus Notes (em Inglês)

    Sobre o Autor: code

    Administrador e Editor do Portal Under-Linux, desenvolvedor Linux e FOSS para Linux, autor de livros e artigos, atuando na área de Educação Digital e P&D com AI.

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L