公開日:2013/05/01 最終更新日:2013/05/16

JVNVU#98097798
IBM Notes のメールクライアントに Java および Javascript が実行される問題

概要

IBM が提供する IBM Notes は、デフォルト設定で HTML メールに記載された Java および Javascript を実行します。

影響を受けるシステム

  • IBM Notes 8.0.x
  • IBM Notes 8.5.x
  • IBM Notes 9.0

詳細情報

IBM が提供する IBM Notes は、デフォルト設定で HTML メールに記載された Java および Javascript を実行します。
また、当該製品に同梱されている JRE は IBM JRE 6 SR12 ですが、現在、セキュリティ修正を含む IBM JRE 6 SR13 が公開されています。

想定される影響

細工された HTML メールを IBM Notes 上で閲覧することで、任意のコードが実行される可能性があります。

対策方法

アップデートする
開発者によると、Interim Fix 1 for 8.5.3 Fix Pack 4 および 9.0 Interim Fix 1 をリリース予定とのことです。
また、本脆弱性の影響を軽減するための設定に関する情報も公開されています。

詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
IBM (参考) セキュリティ情報:IBM Notes が HTML メール内の Java アプレットや JavaScript タグを受け入れる (CVE-2013-0127, CVE-2013-0538)
Security Bulletin: IBM Notes accepts Java applet and JavaScript tags inside HTML emails (CVE-2013-0127, CVE-2013-0538)

参考情報

  1. CERT/CC Vulnerability Note VU#912420
    IBM Notes runs arbitrary JAVA and Javascript in emails

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2013.05.01における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-0127
CVE-2013-0538
JVN iPedia

更新履歴

2013/05/01
タイトルおよび対策方法を修正しました。
2013/05/16
ベンダ情報にリンクを追加しました。