Microsoft bĂĽgelt Fehler bei Exchange 5.5 aus
Im Rahmen des Patch-Day stopft Microsoft im August eine Lücke in Outlook Web Access für Exchange 5.5, die es Angreifern über einen Cross-Scripting-Angriff ermöglicht, beliebigen Code auszuführen.
Im Rahmen des monatlichen Patch-Day stopft Microsoft im August eine Lücke im Outlook Web Access für den Exchange-Server 5.5, die es Angreifern über einen Cross-Scripting-Angriff ermöglicht, beliebigen Code auszuführen. Den Fehler bei Outlook Web Access hatte Amit Klein vom Sicherheitsunternehmen Sanctum gefunden und an Microsoft gemeldet.
Aufgrund einer ungenügenden Überprüfung einer HTML-Abfrage können Unbefugte auf den Browser-Cache sowie Einstellungen zugreifen und diese verändern. Zusätzlich sei es möglich, beliebige Skripte im Sicherheitskontext des Anwenders zu starten (Cross-Site-Scripting).
Betroffen ist Microsoft Exchange Server 5.5 SP4, der Hotfix, auf den das Security Bulletin MS04-026 verweist, behebt den Fehler. Microsoft empfiehlt Administratoren mit selbst erstellten ASP-Seiten, diese vor dem Einspielen des Patches zu sichern, da sie dabei ĂĽberschrieben werden. Systeme mit Exchange 2000 Server und Exchange Server 2003 sollen laut Microsoft von dem Problem nicht betroffen sein.
Siehe dazu auch: (pab)
- Security Bulletin MS04-026 von Microsoft
