XGEN: Unkorrekte Verarbeitung von Anlagen unter Exchange 2000 OWA

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 299535 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D45084
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
299535 XGEN: Incorrect Attachment Processing in Exchange 2000 Outlook Web Access Can Run Script
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Zusammenfassung

Am 06. Juni 2001 hat Microsoft die Originalversion dieses Patch herausgegeben.
Microsoft hat nachfolgend zwei Probleme entdeckt, die eine Aktualisierung des Patch am 08. Juni 2001 erforderlich machten:
  • Diese Anfälligkeit betrifft Microsoft Exchange Server 5.5. Microsoft hat einen Patch entwickelt, der diese Anfälligkeit eliminiert, und empfiehlt Kunden, die Microsoft Outlook Web Access (OWA)-Dienste über Exchange Server 5.5 anbieten, diesen Patch zu installieren. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    301361 XGEN: Incorrect Attachment Processing in Exchange Server 5.5 Outlook Web Access Can Run Script
  • In dem ursprünglich für Exchange 2000 bereitgestellten Patch wurde ein Regressionsfehler entdeckt. Microsoft hat den Fehler korrigiert und eine aktualisierte Version des Patch herausgegeben. Microsoft empfiehlt Kunden, die die Originalversion des Exchange 2000-Patch installiert haben, die aktualisierte Version zu installieren.

Problembeschreibung

OWA ist ein in Exchange 2000 Server enthaltener Dienst, mit dessen Hilfe ein Benutzer über einen Webbrowser auf ein Exchange-Postfach zugreifen kann. Es existiert jedoch eine Anfälligkeit bei der Interaktion zwischen OWA und Microsoft Internet Explorer bezüglich Nachrichtenanlagen. Wenn eine Anlage Hypertext Markup Language (HTML)-Code mit einem Skript enthält, wird das Skript ausgeführt, wenn der Benutzer die Anlage öffnet, unabhängig vom Anlagentyp. Da OWA erfordert, dass Skripts in der Zone, in der sich der OWA-Server befindet, aktiviert werden müssen, kann dieses Skript Aktionen durchführen, die gegen das Exchange-Postfach des Benutzers gerichtet sind.

Ein Angreifer kann diese Anfälligkeit nutzen, um eine Anlage zu konstruieren, die böswilligen Skriptcode enthält. Der Angreifer kann diese Anlage dann mit einer Nachricht an einen Benutzer senden. Wenn der Benutzer die Anlage in OWA öffnet, wird das Skript ausgeführt und kann Aktionen mit dem Postfach des Benutzers durchführen, zu denen sonst nur der Benutzer in der Lage ist. Dies kann, unter gewissen Umständen, die Manipulation von Nachrichten und Ordnern einschließen.

Risiko-mindernde Faktoren:
  • Die Anfälligkeit kann nur ausgenutzt werden, wenn der Benutzer OWA zusammen mit Internet Explorer verwendet.
  • Die Anfälligkeit kann nur von Anlagen ausgenutzt werden, die über OWA empfangen werden. Normalerweise kann ein Angreifer nicht feststellen, ob ein Benutzer eine Anlage mit OWA statt mit Microsoft Outlook öffnet.
  • Ein Angreifer kann diese Anfälligkeit nur ausnutzen, wenn er den Benutzer dazu verleitet, eine Anlage zu öffnen, die aus einer nicht vertrauten Quelle stammt. Die beste Vorgehensweise ist daher, keine Anlagen zu öffnen, die aus unbekannten oder nicht vertrauten Quellen stammen.

Lösung

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Bild minimierenBild vergrößern
Download
Q299535geri386.EXE jetzt herunterladen
Datum der Freigabe: 08.06.01

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Dateien vom Microsoft Support im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Nach der Bereitstellung befindet sich die Datei auf sicheren Servern, wodurch nicht autorisierte Änderungen an der Datei verhindert werden.

Installieren Sie das neueste Service Pack für Exchange 2000 Server, um dieses Problem zu beheben. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
301378 XGEN: Wie Sie das neueste Service Pack für Exchange 2000 Server erhalten

Status

Microsoft hat bestätigt, dass dieses Problem zu einer gewissen Sicherheitsanfälligkeit bei Microsoft Exchange 2000 Server führen könnte. Dieses Problem wurde erstmals in Microsoft Exchange 2000 Server Service Pack 1 behoben.

Weitere Informationen

Weitere Informationen über diese Sicherheitsanfälligkeit finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/bulletin/MS01-030.asp

Eigenschaften

Artikel-ID: 299535 - Geändert am: Dienstag, 28. Januar 2014 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange 2000 Server Standard Edition
Keywords: 
kbnosurvey kbarchive kbexchange2000presp1fix KB299535
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com