据海外媒体最新报道,IBM公司日前发布升级补丁,封堵Lotus Notes当中6个高危安全漏洞。据了解,当用户通过Notes附件查看器读取文件时,攻击者可能运行远程恶意代码。
漏洞是由安全公司Secunia本周五发现的,受到影响的版本包括Lotus Notes 6.5.4、7.0以及之前的版本。Secunia首席技术官Thomas Kristensen表示,“这是一个非常严重的问题,因为目前大批企业使用Lotus Notes。当用户收到带有附件的电子邮件时,他们往往需要点击附件进行阅读,因而系统也就容易受到远程攻击。”
IBM公司本周发布升级版本7.0.1。此前,该公司曾于去年12月份发布6.5.5版本。IBM公司称,Secunia公司共发现6个漏洞,其中包括5个缓冲器溢出漏洞和1个目录游走漏洞。为了成功利用这些漏洞,攻击者需要发送附件给用户,而用户必须双击才能查看这些附件。
Secunia公司表示,当用户在附件查看器内解压文件名较长的压缩文件时,漏洞将被攻击者利用,并导致缓冲器溢出,系统也将被远程控制。此外,当用户用户通过附件查看器打开文件名过长的编码文件时,系统也将被控制。Kristensen 表示,恶意编码文件将导致缓冲器溢出,并导致系统被远程控制。作为内置软件,Lotus附件查看器允许用户查看多种格式的文件,而不需要在系统中安装专门的阅读软件。
