PlanetNTF

De-Mail, E-POSTBRIEF, PGP, S/Mime, GnuPG, regify, Cryptshare, Dropbox, .......

Die Verfahren zur sicheren, elektronischen Kommunikation in oder über unsichere Medien vermehren sich gefühlt schneller als Karnickel. Alle verfolgen natürlich ein wichtiges Ziel: Zwischen den elektronischen Festungen von Unternehmen ist weitgehend ungesichertes Niemandsland. Und dort tummelt sich nicht bur die NSA, sondern auch andere Vagabunden, die nach unseren schützenswerten Informationen gieren. Also sind viele Dienstleister angetreten, unsere elektronische Post sicher durch das feindliche Niemandsland zu transportieren. Leider sind das sehr viele und alle haben suboptimale Gemeinsamkeiten:

- Die Verfahren sind untereinander nicht kompatibel

- Damit die sichere Übertragung klappt, müssen beide Kommunikationspartner am selben Verfahren teilnehmen

- Nicht alle Verfahren sind unbedingt Anwenderfreundlich, insbesondere im Hinblick auf die One-Man-IT von Privatanwendern

- Jeder Absender sieht als selbstverständlich an, dass alle seine Empfänder "natürlich" an seinem Verfahren teilnehmen.

Das heißt für die IT von Unternehmen: Egal, für welches Verfahren Sie sich entscheiden, die Entscheidung ist immer gleich richtig und gleich falsch. Gleichzeitg ist ein Trend zum Portal erkennbar. Die Information bleibt in der elektronischen Festung und wer sie haben will, muss sich aus dem Niemandsland in die Festung bewegen, um die Information abzuholen. Und die Herolde, die aus den Festungen ausschwärmen, um der Welt zu verkünden, dass in der Festung Informationen auf Abholung warten müssen nicht geschützt werden - wer interessiert sich schon für jemanden, der nur weiß, wo interessante Information liegt, wenn an diese Information unbefugt nur mit unverhältnismäßigem Aufwand ranzukommen ist.

Was also tun? Zu Sicherheit an allen Verfahren teilnehmen so wie im letzten Jahrhundert Video-Verleihe, die VHS, Betamax und Video2000 Filme im Angebot hatten, damit auch jeder Kunde bei ihnen Filme leiht? Zurück zur klassischen Papierbrief? Wichtige Kommunikaionspartner über ein Sponsoring bewegen "mein" Lieblingsverfahren einzusetzen? Abwarten, wie sich der Markt entwickelt und erst dann einsteigen, wenn sich eine Art "Weltstandard" etabliert hat, an dem keiner mehr vorbeikommt?

Durch eine Schwachstelle in Lotus Notes kann möglicherweise Schadcode im Kontext des Benutzers ausgeführt werden.

Beim Aufruf von Notes aus einem externen Programm über eine URL, die das "Notes://"-Protokoll nutzt, kann eingeschleuster Code im Benutzerkontext zur Ausführung kommen. Nach Auskunft von IBM kann die Schwachstelle nur dann ausgenutzt werden, wenn Notes zum Zeitpunkt des Aufrufs noch nicht gestartet wurde.

Als organisatorische Lösung wird aktuell empfohlen nach der Anmeldung am Betriebssystem direkt Lotus Notes zu starten und während des Betriebs immer geöffnet zu lassen. Ohne offenes Notes sollten keine Links im Browser oder anderen Dokumenten wie z.B. PDF angeklickt werden.

Quelle: IBM 

http://www-304.ibm.com/support/docview.wss?uid=swg21598348&myns=swglotus&mynp=OCSSKTWP&mync=E

Stellungnahme der IBM auf detaillierte Nachfragen - offen: Ist das auf Windows beschränkt oder tritt das auch unter Linux auf?:

- does the error occur only on web links or also database links ? It occurs on urls starting with Notes:// when they are clicked with Notes not running. These could be present on web pages or any documents like in MS Word or other tools like Sametime. I don't think database links exist outside Notes without Notes:// url format.

- does it occur only in the notes internal browser or also in a external browser like IE or Firefox . Won't occur in Notes internal browser since Notes is already started. Will occur in external browsers.

- when does it occur. During the click or while the browser opens the code ? During the click, when Notes starts up and notes2.exe process gets created.