IBM hat IF2 für Notes 9.0 und 8.5.3 FP4 veröffentlicht. Beide inkludieren die Fixes aus dem jeweiligen IF1 und beheben vor allem zwei weitere Sicherheitslücken.
IBM Interim Fix 2 for IBM Notes 9.0 (9.0.0.0) – United States
IBM Interim Fix 2 for IBM Notes 8.5.3 Fix Pack 4 (8.5.3.4) – United States
Das Interim Fix 1 gibt es auch für den Domino 9.0:
Interim Fix 1 for IBM Notes & Domino 9.0 (9.0.0.0)
Das hat aber nichts mit der Java-Lücke zu tun, sondern behebt vier andere SPRs.
IBM meldet den Fix für eine offenbar recht schwere Sicherheitslücke in den Notes-Clients 8.0 und höher:
The IBM Notes mail client accepts Java applet tags and JavaScript tags inside HTML emails,
making it possible to load Java applets and scripts from a remote location.
Heise formuliert das drastischer:
Notes/Domino von IBM hat ein riesiges Sicherheitsproblem, das jetzt mit einem Update beseitigt werden soll. Schon beim Öffnen einer E-Mail kann ein Notes-Nutzer seinen PC mit Spionage-Software infizieren.
Abhilfe schaffen kann man durch:
Idealerweise verteilt man das per Desktop-Richtlinie.
Eigentlich sollten korrekte ECL-Einstellungen am Client dafür sorgen, dass solcher Code nicht ausgeführt werden kann. Aber zumindest bei meinem 9.0 Client wurde dennoch das Applet ausgeführt, nicht aber das JavaScript. Testen kann man das mit dem Heise Security E-Mail-Check.
Der IBM Interim Fix 1 for Domino 8.5.3 Fix Pack 3 (8.5.3.3) enthält zwei Fixe für Probleme mit chinesischen Schriftzeichen bei iNotes-Usern und der LDAP-Performance.
