Dansk firma finder to nye sårbarheder i IBM Notes

  Illustration: ADragan/Bigstock

Illustration: ADragan/Bigstock

I dag offentliggør det danske sikkerhedsfirma Improsec to nye sårbarheder i IBM Notes. Sårbarhederne gjorde det muligt at opnå fuld kontrol over maskinerne, der benyttede softwaren.

Kristian Ravn [email protected] Torsdag, 22. marts 2018 - 5:12

Under arbejdet med en sikkerhedsanalyse for en kunde har det danske sikkerhedsfirma Improsec opdaget sammenlagt otte sårbarheder i e-mail- og kalenderplatformen IBM Notes.

De sidste to er netop offentliggjort her til morgen. Sikkerhedshullerne gjorde det muligt at opnå fuld adgang som lokal administrator, skriver firmaet på deres blog, hvor de også har en teknisk gennemgang af sårbarhederne.

Maskinerne var sendt til firmaet for at blive testet for netop den slags sårbarheder.


Version2 Infosecurity

It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København.

Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Flere oplysninger

Vil du gå direkte til tilmelding, klik her.

»Der var lavet næsten alle fejl, man kan lave i en klient-applikation,« fortæller CEO i Improsec Jakob H. Heidelberg, efter firmaet nu har offentliggjort tekniske detaljer om de sidste to sårbarheder i IBM Notes.

I overensstemmelse med Improsecs politik om ansvarlig afsløring (responsible disclosure) af sårbarheder, kontaktede de IBM med henblik på afhjælpning af problemerne.


IBM: Meget alvorligt

Begge sårbarheder er klassificeret af IBM som værende meget alvorlige med en CVSS (Common Vulnerability Scoring System) score på 7,8 for begge sikkerhedshuller.

IBM udbad sig i første omgang mere tid til at teste deres løsning på problemet og fik udsat tidsrammen til den 22. marts 2018. Alligevel gik de allerede ud med deres fixes den 9. marts 2018.

»Det overrasker os lidt. Det er ikke det, vi normalt ser,« fortæller Jakob Heidelberg, der dog er positiv over IBMs håndtering af sagen.


Tidligere fund fra Improsec

Det er ikke første gang, Improsec truer med at lufte andres sure IT-underbukser.

Den 12. marts 2018 kunne Improsec løfte sløret for sårbarheder, der var fundet i sikkerhedssoftwaren Heimdal, og i februar 2018 var den også gal med IBM Notes, der også dengang havde problemer med kode, der kunne tillade privilege escalation via lokale computere.

I juni 2017 var Improsec ligeledes nødt til at true IBM med at gå offentligt ud med sårbarheder i deres Tivoli Storage Management-produkt, hvis ikke de blev rettet. Den sag skrev vi meget mere om lige her på Version2.dk.

Læs også: Sårbarhed kendt i måneder: IBM reagerer først efter trussel om offentliggørelse fra V2-blogger