Buffer overflow v aplikaci Lotus Notes

Specifikace:

V specifických situacích může být spuštěn škodlivý kód, pokud si v aplikaci Lotus Notes zobrazujte přes funkci File Viewer níže uvedené přílohy:

    * Lotus 1-2-3 tabulky
    * Microsoft Office Tabulka
    * Microsoft Office Word
    * Microsoft Word 2,0
    * OLE dokumentu
    * QuattroPro rychlost Reader
    * WordPerfect 5

Pokud chce utočník této chyby využít, musí poslat přílohu s "infikovaným" souborem a uživatel na tuto přílohu musí dvakrát kliknout a použít funkce "View".

Konkrétní případy zneužití se liší od použitých příloh, ale mají jedno společné - buffer overflow denial-of-service.
Samozřejmě se tato chyba projeví pouze a jen na podporovaných a tedy testovaných Lotus Notes klientech (verze 7.0.x, 8.0.x a dokonce i 8.5.x) instalovaných na operačním systému MS Windows.
Lotus Domino serverů se tento exploit netýká.

Řešení:

Jak z této šlamastiky ven? Správná otázka. Nicméně IBM rychle zareagovala a již připravila opravu a doporučuje její instalaci.

Oprava této chyby je/bude obsažena ve Fix Packu:

    * Pro verzi 8.0.2 Fix Pack 6 (je k dispozici na Fix Centrále od 26.července 2010)
    * Pro verzi 8.5.1 Fix Pack 4 (bude k dispozici na Fix Centrále do 4.srpna 2010 - toto je předběžné datum vydání Fix Packu)

Pokud nechcete čekat na Fix Pack 4 či ještě máte verzi 7.0.x, IBM připravila instalační soubor, který je anonymně ke stažení na Fix Centrále (Keyview_Security_patch0719.exe) a je jednotný přes verze 7.0.x, 8.0.x a 8.5.x)

Po stažení a vypnutí Lotus Notes klienta se tento exe soubor instaluje jako Administátor a pokud se Vám objeví okno



instalace proběhla úspěšně.

Pokud nechcete instalovat příslušný Fix, tak existuje ještě několik variant, jak zabránit "prohlížení" souborů přes Lotus Notes klienta:

Odstranit keyview.ini soubor v adresáři programu Notes
Tato akce zakáže všechny File View. Když uživatel klikne na View, zobrazí se dialogové okno "Nemohu nalézt prohlížeč konfigurační soubor." nebo "Unable to locate the viewer configuration file."

Odstranit nebo přejmenovat postižené DLL souboru
Po odstranění DLL souborů, když se uživatel pokusí o zobrazení souboru, který vyžaduje "postižený" Viewer, zobrazí se dialogové okno "Prohlížeč nemohl být inicializován." nebo "The viewer display window could not be initialized."
Všechny ostatní typy souborů se budou zobrazovat bez chyby.

Zakomentování příslušného řádku v keyview.ini pro odkaz na postižené DLL soubory
Pokud chceme zakomantovat řádku v souboru keyview.ini, je potřeba použít středník (;) na začátek této řádky.
Když se uživatel pokusí zobrazit konkrétní typ souboru, zobrazí se dialogové okno "Prohlížeč nemohl být inicializován." nebo "The viewer display window could not be initialized."

Příklad:
[KVWKBVE] -> To je část keyview.ini
;188 = xlssr.dll ---> To zakomantovaný dll soubor pro Excel

Seznam "postižených" DLL souborů:

Lotus 1-2-3 Spreadsheet (wkssr.dll)
Microsoft Office Spreadsheet (wkssr.dll)
Microsoft Office Word (kpmsordr.dll)
Microsoft Word 2.0 (mwsr.dll)
OLE document (kvolefio.dll)
QuattroPro speed reader (qpssr.dll)
WordPerfect 5 (wosr.dll)

Poznámka na konec:

Aby se útok buffer overflow přes File Viewer projevil, je vyžadována spolupráce od uživatele, který klikne na přílohu od neznámého odesilatele a pokusí se jí otevřít pomocí File Viewer. V některých případech ještě musí být i další spolupráce pro spuštění příslušného škodlivého kódu. Co tedy říci na závěr? Pokud se pohybujete na Internetu už nějaký čas, tak víte, že ne všechno je bezpečné a že není dobré otevírat hned všechny přílohy. Takže buďte opatrní.