XGEN: Falsche Verarbeitung im Exchange Server 5.5 Outlook Web Access Anlagen kann Skripts ausführen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 301361 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Weitere Informationen zu einem ähnlichen Problem, die in Exchange 2000 Server auftreten können, finden Sie die folgende KB-Artikelnummer:
299535XGEN: Falsche Anlagen verarbeiten in Exchange kann 2000 Outlook Web Access Skript ausführen
Alles erweitern | Alles schließen

Problembeschreibung

Microsoft Outlook Web Access (OWA) ist ein Dienst von Exchange Server 5.5 und Exchange 2000 Server, mit denen ein Benutzer mithilfe eines Webbrowsers zu einem Exchange-Postfach zugreifen können. Es besteht jedoch Sicherheitsanfälligkeit in der Interaktion zwischen OWA und Microsoft Internet Explorer für Nachrichtenanlagen. Wenn eine Anlage HTML-Code, die Skript enthält enthält, wird das Skript ausgeführt, wenn der Benutzer die Anlage, unabhängig vom Anlagentyp öffnet. Da OWA erfordert, dass Skripting aktiviert sein, in der Zone, in denen der OWA-Server befindet, kann dieses Skript Aktion für Exchange-Postfach des Benutzers dauern.

Ein Angreifer könnte diese Sicherheitsanfälligkeit verwenden, um eine Anlage erstellen, die bösartigen Code enthält. Der Angreifer kann dann die Anlage in einer Nachricht an einem Benutzer gesendet. Wenn der Benutzer die Anlage in OWA, das Skript ausgeführt öffnet und Aktion gegen das Benutzerpostfach ?s dauern, kann als wenn das Skript den Benutzer, einschließlich unter bestimmten Umständen Bearbeitung von Nachrichten oder Ordner.

Die folgenden Schadensbegrenzende Faktoren:
  • Die Sicherheitsanfälligkeit kann nur ausgenutzt werden, wenn der Benutzer OWA in Verbindung mit Internet Explorer verwendet wird.
  • Die Sicherheitsanfälligkeit kann nur von Anlagen ausgenutzt werden, die mithilfe von OWA empfangen werden. Im Allgemeinen hat ein Angreifer keine Möglichkeit, festzustellen, ob ein Benutzer eine Anlage geöffnet wird, mithilfe von OWA statt Microsoft Outlook.
  • Ein Angreifer erfordert diese Sicherheitsanfälligkeit ausnutzen, dass der Angreifer dem Benutzer eine Anlage aus einer vertrauenswürdigen Quelle öffnen verleiten. Wird die empfohlen, alle Anlagen aus einer unbekannten oder nicht vertrauenswürdigen Quelle öffnen.

Lösung

Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich; dieses Update wurde jedoch ausschließlich zur Behebung des in diesem Artikel beschriebenen Problems entwickelt. Es sollte nur auf Systemen installiert werden, die von einem Angriff dieser Art betroffen sein könnten. Überprüfen Sie Ihren Computer hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen sowie weiterer Faktoren, um herauszufinden, inwieweit Ihr Computer von diesem Problem bedroht ist. Finden Sie die zugeordneten Microsoft Security Bulletin feststellen, dass das Maß an Risiko. Dieses Update wird unter Umständen zu einem späteren Zeitpunkt weiteren Tests unterzogen. Microsoft empfiehlt, dieses Update sofort zu installieren, falls Ihr System von diesem Problem betroffen sein könnte. Warten Sie andernfalls auf für das nächste Microsoft Exchange Server 5.5 Service Pack, das diese Berichtigung enthält.

Laden Sie das Update wie im Folgenden beschrieben herunter oder wenden Sie sich an Microsoft Product Support Services (PSS), um das Update zu erhalten, wenn Sie das Problem sofort beheben möchten. Eine vollständige Liste mit Telefonnummern der Microsoft-Produktsupport und Informationen Supportkosten der folgenden Microsoft-Website:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Hinweis : in speziellen Fällen Gebühren, die normalerweise für Support-Anrufe anfallen abgebrochen werden können, wenn eine Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem behoben wird. IT DOES NOT APPLY TO GERMANY.

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:
Bild minimierenBild vergrößern
Download
Download Q301361i386.exe now
Freigabedatum: Juni 8, 2001

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591So erhalten Sie Dateien vom Microsoft Support im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Die englische Version dieses Updates sollte die folgenden Dateiattribute (oder höher) aufweisen:

Komponente: OWA

Tabelle minimierenTabelle vergrößern
DateinameVersion
Read.ASPNa

NOTES
  • Aufgrund von Dateiabhängigkeiten erfordert dieses Update für Exchange Server, Version 5.5 Service Pack 4.
  • Sie müssen dieses Update auf allen Servern anwenden, die die OWA-Komponenten ausgeführt. Mit Exchange Server 5.5 können Sie die OWA-Komponenten auf einem Computer installieren, die von der Exchange-Server getrennt ist. Wenn Sie OWA separat installieren, müssen Sie diesen Patch auf dem eigenen Computer ausführen.
  • Nachdem Sie dieses Update angewendet haben, können Benutzer manchmal ein leeres Fenster erhalten, wenn Sie Ihre Nachrichten mithilfe von OWA öffnen. In diesem Fall finden Sie im folgenden Knowledge Base-Artikel
    314532XWEB: Leere Nachrichtentexten in Outlook-Problembehandlung

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang zu einer Sicherheitsanfälligkeit in Microsoft Exchange Server 5.5 führen kann.

Weitere Informationen

Weitere Informationen zu dieser Sicherheitsanfälligkeit Sicherheit finden Sie unter der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/bulletin/MS01-030.mspx

Eigenschaften

Artikel-ID: 301361 - Geändert am: Donnerstag, 6. Februar 2014 - Version: 5.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.5 Service Pack 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange Server 5.5 Service Pack 4
Keywords: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbexchange550presp5fix kbfix kbqfe KB301361 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 301361
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com