Under arbejdet med en sikkerhedsanalyse for en kunde har det danske sikkerhedsfirma Improsec opdaget sammenlagt otte sårbarheder i e-mail- og kalenderplatformen IBM Notes.
De sidste to er netop offentliggjort her til morgen. Sikkerhedshullerne gjorde det muligt at opnå fuld adgang som lokal administrator, skriver firmaet på deres blog, hvor de også har en teknisk gennemgang af sårbarhederne.
Maskinerne var sendt til firmaet for at blive testet for netop den slags sårbarheder.
It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København. Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Vil du gå direkte til tilmelding, klik her.Version2 Infosecurity
»Der var lavet næsten alle fejl, man kan lave i en klient-applikation,« fortæller CEO i Improsec Jakob H. Heidelberg, efter firmaet nu har offentliggjort tekniske detaljer om de sidste to sårbarheder i IBM Notes.
I overensstemmelse med Improsecs politik om ansvarlig afsløring (responsible disclosure) af sårbarheder, kontaktede de IBM med henblik på afhjælpning af problemerne.
IBM: Meget alvorligt
Begge sårbarheder er klassificeret af IBM som værende meget alvorlige med en CVSS (Common Vulnerability Scoring System) score på 7,8 for begge sikkerhedshuller.
IBM udbad sig i første omgang mere tid til at teste deres løsning på problemet og fik udsat tidsrammen til den 22. marts 2018. Alligevel gik de allerede ud med deres fixes den 9. marts 2018.
»Det overrasker os lidt. Det er ikke det, vi normalt ser,« fortæller Jakob Heidelberg, der dog er positiv over IBMs håndtering af sagen.
Tidligere fund fra Improsec
Det er ikke første gang, Improsec truer med at lufte andres sure IT-underbukser.
Den 12. marts 2018 kunne Improsec løfte sløret for sårbarheder, der var fundet i sikkerhedssoftwaren Heimdal, og i februar 2018 var den også gal med IBM Notes, der også dengang havde problemer med kode, der kunne tillade privilege escalation via lokale computere.
I juni 2017 var Improsec ligeledes nødt til at true IBM med at gå offentligt ud med sårbarheder i deres Tivoli Storage Management-produkt, hvis ikke de blev rettet. Den sag skrev vi meget mere om lige her på Version2.dk.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
