大家好,才是真的好。
好久没写Notes和Domino的安全漏洞问题,因为很多年过去了,发现的漏洞不多,更新的补丁不少。
第一个是Notes客户机的安全漏洞
Notes客户端的输入参数处理中的漏洞可能被攻击者利用,从而导致缓冲区溢出。 这可能使攻击者能够使HCL Notes崩溃或在客户端上执行攻击者控制的代码。
是不是很懵,对吧?
懵就对了,我来解释一下。
这意思是说,某些版本Notes容易受到存储的跨站点脚本的攻击。Notes客户机如果收到了外部Internet的HTML电子邮件,里面有Java applet和JavaScript标签进行了不正确的输入验证导致。所以在特定情况下,Notes客户机打开HTML邮件,远程攻击者可能会利用该漏洞,在宿主网站的安全上下文的受害者Web浏览器中执行脚本,攻击者主要可能会窃取受害者基于Cookies的身份验证凭证等。
从Notes R901FP9版本开始,Notes内置的浏览器就被移除了,换上了系统默认的浏览器,这么说来,还是有点危险的。受影响的版本主要是Notes 9.0.1FP10IF8之前、Notes 10.0.1FP6之前、Notes 11.0.1FP1之前的。