XGEN: Anexo incorrecto de processamento no Exchange Server 5.5 no Outlook Web Access pode executar script

Traduções de Artigos Traduções de Artigos
Artigo: 301361 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Para obter informações adicionais sobre um problema semelhante que poderá ocorrer no Exchange 2000 Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
299535XGEN: Anexo incorrecto de processamento no Exchange 2000 Outlook Web Access pode executar scripts
Expandir tudo | Reduzir tudo

Sintomas

Microsoft Outlook Web Access (OWA) é um serviço do Exchange Server 5.5 e Exchange 2000 Server que um utilizador pode utilizar para aceder a uma caixa de correio do Exchange utilizando um browser. No entanto, existe vulnerabilidade na interacção entre o OWA e o Microsoft Internet Explorer para anexos de mensagens. Se um anexo contiver código HTML (Hypertext Markup Language) que inclui um script, o script é executado quando o utilizador abre o anexo, independentemente do tipo de anexo. Uma vez que OWA requer que o processamento de scripts esteja activado na zona de onde está localizado o servidor OWA, este script pode tomar medidas contra caixa de correio do utilizador Exchange.

Um intruso pode utilizar esta vulnerabilidade para criar um anexo que contém o código script mal intencionado. O intruso pode então enviar o anexo numa mensagem para um utilizador. Se o utilizador abre o anexo no OWA, executa a script e pode actuar contra caixa de correio ?s utilizador como se o script é o utilizador, incluindo, em determinadas circunstâncias, manipulação de mensagens ou pastas.

O seguinte é Factores atenuantes:
  • A vulnerabilidade só pode ser explorada se o utilizador estiver a utilizar OWA em conjunto com o Internet Explorer.
  • A vulnerabilidade só pode ser explorada por anexos que são recebidos utilizando o OWA. Em geral, um intruso não tem nenhuma forma de determinar se um utilizador irá abrir um anexo utilizando o OWA em vez do Microsoft Outlook.
  • Capacidade de um intruso explorar esta vulnerabilidade requer que o intruso levar o utilizador abrir um anexo de uma origem que não considere fidedigna. O procedimento recomendado é não abra qualquer anexo de uma origem desconhecida ou que não considere fidedigna.

Resolução

Agora é disponibilizada pela Microsoft uma correcção suportada, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em computadores que considere estarem em risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade da Internet e outros factores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin associado para ajudar a determinar o grau de risco. Esta correcção poderá ser submetida a testes adicionais. Se o computador estiver suficientemente susceptíveis, a Microsoft recomenda que aplique esta correcção agora. Caso contrário, aguarde pelo próximo service pack do Microsoft Exchange Server 5.5 que contenha esta correcção.

Para resolver este problema imediatamente, transfira a correcção, seguindo as instruções deste artigo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa de números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Nota : em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem na atualização específica em questão.

Os ficheiros seguintes estão disponíveis para transferência a partir do Centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Download
Download Q301361i386.exe now
Data de edição: 8 de Junho de 2001

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
119591Como obter ficheiros de suporte da Microsoft a partir de serviços on-line
Microsoft procedeu de vírus neste ficheiro. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o ficheiro foi publicado. O ficheiro é alojado em servidores com segurança avançada que o ajudam a impedir alterações não autorizadas ao ficheiro.

A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:

Componente: OWA

Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão
Read.aspthe

notas
  • Devido a dependências ficheiro, desta correcção requer o Microsoft Exchange Server versão 5.5 Service Pack 4.
  • Necessitar de aplicar esta correcção de todos os servidores que executam os componentes OWA. Com o Exchange Server 5.5, é possível instalar os componentes OWA num computador que está separado do Exchange Server. Se instalou o OWA separadamente, terá de executar este patch num computador diferente.
  • Por vezes, depois de aplicar esta correcção, os utilizadores podem obter uma janela em branco quando abrem as mensagens com o OWA. Se isto ocorrer, verifique leia o seguinte artigo da base de dados de conhecimento da
    314532XWEB: Resolução de problemas em branco corpos de mensagens no Outlook Web

Ponto Da Situação

A Microsoft confirmou que este problema poderá provocar um grau de vulnerabilidade da segurança no Microsoft Exchange Server versão 5.5.

Mais Informação

Para mais informações sobre esta vulnerabilidade de segurança, consulte o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS01-030.mspx

Propriedades

Artigo: 301361 - Última revisão: 5 de fevereiro de 2014 - Revisão: 5.2
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.5 Service Pack 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange Server 5.5 Service Pack 4
Palavras-chave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbexchange550presp5fix kbfix kbqfe KB301361 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 301361

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com