Keine kritische Lücke
Microsoft Patch Day: Nur vier Updates im Juli
MS08-39: Rechteausweitung über OWA für Exchange
Zwei Lücken in „Outlook Web Access für Exchange Server“ ermöglichen dem Angreifer eine XSS-Attacke (Cross Site Scripting). Damit kann der Angreifer Scriptcode in die OWA-Sitzung des Opfers einschleusen, der dann mit den Berechtigungen des Opfers ausgeführt wird. Dies ermöglicht es ihm, beispielsweise Emails zu senden oder zu löschen.
Die eine Lücke betrifft die Auswertung bestimmter Email-Felder und die andere die Analyse von HTML-Code in Emails. Um die Lücken auszunutzen, muss der Angreifer dem Opfer lediglich eine speziell präparierte Email schicken, die dann über OWA gelesen wird.
Datum |
08.07.2008 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Exchange Server 2003, 2007 |
Auswirkung |
Rechteausweitung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |