Dwuletnia luka w Lotus Notes

IBM ostrzega, że specjalnie spreparowane archiwa ZIP o długich nazwach mogą doprowadzić do przepełnienia bufora podczas korzystania z programu Lotus Notes.

Atakujący może wówczas uruchomić dowolny kod na zaatakowanej maszynie. Problem występuje w bibliotece dunzip32.dll. Biblioteka ta to część pakietu DynaZip dostarczanego przez firmę InnerMedia, która wykorzystywana jest przez wielu producentów. Obecnie wiadomo, że wersje 5.0.10, 6.0 oraz 6.5.1 Lotus Notes wykorzystują DynaZip z 1999 roku. O problemie IBM wie co najmniej od listopada 2004.

Źródło: ArcaBit

Realizacja: SIPLEX Studio