Ein erfolgreicher Angriff gelingt erst, wenn nicht nur eine bösartige Webseite besucht wird, sondern dann auch noch eine entsprechend präparierte Datei heruntergeladen und gespeichert wird.
Dazu bedarf es laut der Sicherheitsexperten allerdings keiner kompletten Installation von Sametime, sofern das Control auf dem Rechner vorhanden ist. Fehlt dieses, meldet die Angreifer-Webseite eine Installations-Routine.
Um sich zu schützen, können Anwender deswegen entweder die ActiveX-Steuerung deaktivieren oder das Kill-Bit beim Control setzen, um so eine Ausführung zu verhindern.
Durch eine fehlende Prüfung einer Funktion eines ActiveX-Controls nämlich wird der Lotus-Anwendung Sametime ermöglicht, Funktionsbibliotheken nachzuladen. Weil der angegebene Pfad nicht überprüft wird, können beliebige Bibliotheken eingebunden werden. Eine Tatsache, die Angreifer mit entsprechendem Schadcode ausnutzen können.
Betroffen ist Sametime in der Version 7.0 mit dem Control STJNILoader.ocx version 3.1.0.26, für die IBM bereits ein Update zur Verfügung stellt. Nach Angaben von IBM wird seit Lotus Sametime 7.5 statt des ActiveX-Control Java zur Initialisierung der Webkonferenz verwendet.