Microsoft Patch Day: Sieben kritische Patches
MS07-026: Code-Ausführung über Exchange Server
Vier Lücken im Exchange Server soll dieses Update beheben. Die erste betrifft Outlook Web Access. OWA behandelt eine UTF-Zeichensatzdeklaration falsch, so dass eine Script-Einschleusung möglich ist. Das Script läuft dann im Rechtekontext der OWA-Session. Ein Angreifer könnte so Zugang zur OWA-Session erhalten und an Informationen gelangen.
Die Exchange Collaboration Data Objects (EXCDO) stellen eine Schnittstelle zu bestimmten Informationstypen bereit. Im Falle von iCal (Internet Calendar) kann es bei bestimmten Eigenschaften dazu kommen, dass der Exchange Server nicht mehr auf Anfragen reagiert und neu gestartet werden muss. Ein Angreifer müsste nur eine speziell präparierte iCal-Information an einen Benutzer des Servers schicken.
Beim Verarbeiten von BASE64-codierten Inhalten kann es passieren, dass beliebiger Code auf dem System mit vollen Benutzerrechten ausgeführt wird. Ein Angreifer müsste dazu nur eine speziell präparierte Nachricht an einen Benutzer des Servers schicken.
Die fehlerhafte Verarbeitung eines IMAP-Befehls kann dazu führen, dass der Exchange Server nicht mehr auf Anfragen reagiert und neu gestartet werden muss. Ein Angreifer muss lediglich ein entsprechend ausgestaltetes Kommando an den IMAP-Dienst von Exchange schicken.
|
Datum |
08.05.2007 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Exchange Server 2000, 2003, 2007 |
|
Auswirkung |
Ausführen beliebigen Codes, Preisgabe von Informationen, Denial of Service |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |