HCL hat diverse Security Bulletins veröffentlicht und informiert damit über mehrere teilweise kritische Sicherheitslücken in der KeyView-Komponente, die bis Notes und Domino 10 für die Indexierung und die Vorschau verschiedener Anhangstypen genutzt wurde. Es ist zu befürchten, dass schon die Volltextindexierung eines maliziösen Anhangs in einer Mail-DB ausreicht, um Schadcode auszuführen.
In Release 10 wurde die Erweiterung zwar durch Apache Tika ersetzt, aber zumindest ein Überbleibsel scheint im Notes Client 10 noch vorhanden zu sein.
Fixes stehen in Form von Notes 9.0.1 FP10 IF11 und 10.0.1 FP8 sowie Domino 9.0.1 FP10 IF9 zur Verfügung. Für Domino auf IBM i jedoch noch nicht. Dort wird die Deaktivierung der Indexierung mit Anhangsfiltern oder ein Upgrade auf eine nicht betroffene Version (11 ff) empfohlen.
Quelle: HCL PSIRT Blog
Wichtiges Update: HCL hat die oben als erstes erwähnte Technote zu den aktuellen 2022er Fehlern in der KeyView-Engine in Domino 9 aktualisiert. Es steht hierfür noch kein Fix zur Verfügung. Es wird für Domino 9 empfohlen, die Volltextindexierung mit Dateianhangsfiltern vorerst komplett zu deaktivieren.