Patch Day August 2004: Patch nach den Patches
MS04-026 - Script-Einspeisung in Exchange 5.5 OWA
Das im Microsoft Security Bulletin MS04-026 beschriebene Update für Microsoft Exchange Server 5.5 Outlook Web Access (OWA) beseitigt eine von Microsoft als mittelschwer eingestufte Sicherheitslücke, über die externe Angreifer Script-Injection-Attacken vornehmen und die Cache-Inhalte des Browsers oder eines Proxys fälschen können.
Ursache des Problems ist ein Fehler bei der Überprüfung von HTML-Umleitungsanfragen. Dies kann der Angreifer mittels einer speziell präparierten E-Mail-Nachricht ausnutzen, um beliebigen HTML- und Script-Code im Sicherheitskontext des attackierten Benutzers auszuführen. Dazu muss er das Opfer allerdings dazu verleiten, einen Link in der Nachricht anzuklicken.
Über eine erfolgreiche Attacke kann der Angreifer zudem Änderungen an den Cache-Inhalten des Webbrowsers und des Proxy-Servers vornehmen sowie unter Umständen auf beliebige Daten auf dem OWA-Server zugreifen, der dem Opfer zugänglich ist. SSL-verschlüsselte Verbindungen sind allerdings gegen das Cache-Spoofing immun, sofern im Internet Explorer des Clients die Option "Verschlüsselte Seiten nicht auf der Festplatte speichern" aktiviert wurde.
Als mögliche Problemumgehung nennt Microsoft das Deaktivieren oder komplette Entfernen von Outlook Web Access. Beide Work-arounds sind allerdings nicht wirklich praktikabel, da sie den Zugriff von Clients via OWA völlig unterbinden. Daher empfiehlt sich ein umgehendes Einspielen des zur Verfügung gestellten Patches.
Für eine erfolgreiche Installation des Updates muss auf dem OWA-Server folgendes installiert sein:
Internet Explorer 5.01 SP3 (Windows 2000 SP3)
Internet Explorer 5.01 SP4 (Windows 2000 SP4)
Internet Explorer 6 SP1 (andere unterstützte Betriebssysteme)
Datum | 10.08.2004 |
|---|---|
| |
Warnstufe | mittel |
Betrifft | Exchange Server 5.5 Outlook Web Access |
Auswirkung | Cross-Site Scripting, Cache Spoofing |
Work-around | Deaktivieren Sie Outlook Web Access. |
Updates | |
CVE |