« Martea cu patch-uri
Vulnerabilitate in Microsoft Office »

Vulnerabilitati multiple in Microsoft Exchange

10th May 2007, 03:12 pm

Au fost raportate vulnerabilitati in Microsoft Exchange, care pot fi exploatate de catre atacatori pentru a lansa atacuri de tip script insertion, Denial of Service (DoS), sau pentru a compromite un sistem afectat.

1. Outlook Web Access (OWA) nu proceseaza corect anumite etichete de seturi de caractere UTF. Atasamentele in format script nu sunt suficient verificate inainte de a fi afisate, fapt ce poate fi exploatat pentru a executa cod arbitrar HTML si script in cadrul sesiunii de browser a utilizatorului la deschiderea unui fisier in contextul unui site compromis.

2. O eroare in fnctionalitatea Exchange Collaboration Data Objects (EXCDO) poate aparea la procesarea proprietatilor de tip MODPROPS din fisierele iCal poate fi exploatata pentru a determina serviciul mail sa inceteze sa raspunda la solicitari folosind un fisier iCal special conceput.

3. O eroare la decodarea MIME poate fi exploatata pentru a executa cod arbitrar prin intermediul unui mesaj e-mail special modificat ce contine date encodate base64 special concepute.

4. O eroare de tip integer overflow poate aparea la procesarea cererilor IMAP invalide si poate fi exploatata pentru a determina serviciul de mail sa nu mai raspunda la solicitari prin intermediul unei comenzi IMAP special concepute.

Programe afectate:

Microsoft Exchange 2000 Enterprise Server
Microsoft Exchange Server 2000
Microsoft Exchange Server 2003
Microsoft Exchange Server 2007

Solutie:

Este recomandata aplicarea programelor corectoare de tip patch lansate de producator deoarece acestea elimina vulnerabilitatile descrise mai sus. Acestea pot fi descarcate de la urmatoarele adrese:

Exchange 2000 Server SP3 cu Exchange 2000 Post-SP3 Update Rollup din August 2004:
http://www.microsoft.com/downloads/details.aspx?FamilyId=21968843-4A81-4F1D-8207-5B0A710E3157
Exchange Server 2003 SP1:
www.microsoft.com/downloads/details.aspx?FamilyId=5E7939BE-73D1-461C-8C79-EDDB0F1459FC
Exchange Server 2003 SP2:
www.microsoft.com/downloads/details.aspx?FamilyId=1ABF93DA-D765-4876-96B5-ACB2D2A48F8F
Exchange Server 2007:
www.microsoft.com/downloads/details.aspx?FamilyId=356874EF-C9C0-4842-99F0-E449E994035


Tag:
Comment (RSS)  |  Trackback

Leave a comment