Dat bericht The Register. De gaten zitten in WebAccess. Met het eerste kan een hacker er door middel van een speciaal geprepareerd mailtje voor zorgen dat het systeem alle berichten die een gebruiker op de server heeft staan forwardt naar een door de hacker uitgekozen adres. Daarbij hoeft de gebruiker het mailtje alleen maar te openen, en geschiedt het kwaad zonder dat er ook nog op een linkje moet worden geklikt. De rules voor forwarding worden automatisch aangepast.

Het tweede lek is een meer traditionele XSS-fout in GroupWise, waarmee willekeurige code kan worden uitgevoerd. De bug kan worden uitgebuit door een kwaadaardig javascriptje met een html-mailtje mee te sturen.

Novell zou hebben toegezegd vandaag nog met een patch te komen voor alle ondersteunde versies van GroupWise, dus 6.5 tot en met 8.0. Bron: Techworld