Sicherheitsupdate vom Dezember 2014 für Exchange Server 2007 und Exchange Server 2010
Symptome
Sicherheitslücke durch Outlook Web App-Token-Spoofing
In Microsoft Exchange Server 2007 und Microsoft Exchange Server 2010 besteht eine Sicherheitslücke durch Token-Spoofing. Dadurch könnte ein Angreifer E-Mail-Nachrichten senden, die scheinbar von einer vertrauenswürdigen Quelle stammen und die Nachrichten einen Link zu einer Website des Angreifers enthalten. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, auf der versucht wird, diese Sicherheitslücke auszunutzen. Darüber hinaus könnten kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitslücke ausnutzen könnten. Allerdings kann ein Angreifer in fast allen Fällen Benutzer nicht dazu zwingen, die vom Angreifer kontrollierten Inhalte anzusehen. Stattdessen müsste ein Angreifer Benutzer dazu verleiten, Maßnahmen zu ergreifen, indem er sie normalerweise auf einen Link in einer E-Mail-Nachricht oder Instant Messenger-Nachricht klicken lässt, um Benutzer auf seine Website zu leiten.
Ursache
Dieses Problem tritt auf, weil Outlook Web App ein Anforderungstoken nicht ordnungsgemäß validiert.
Auflösung
Um diese Probleme zu beheben, installieren Sie das folgende Update:
Holen Sie sich Update Rollup 8 für Exchange Server 2010 Service Pack 3 .
Holen Sie sich Update Rollup 15 für Exchange Server 2007 Service Pack 3 .
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Gilt für" aufgeführt sind.
No comments:
Post a Comment