XGEN: Anexo incorreto processamento no Exchange Server 5.5 Outlook Web Access pode executar script

Traduções deste artigo Traduções deste artigo
ID do artigo: 301361 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Para obter informações adicionais sobre um problema semelhante que pode ocorrer no Exchange 2000 Server, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
299535XGEN: Anexo incorreto processamento no Exchange 2000 Outlook Web Access pode executar script
Expandir tudo | Recolher tudo

Sintomas

Microsoft Outlook Web Access (OWA) é um serviço do Exchange Server 5.5 e Exchange 2000 Server que um usuário pode usar para obter acesso a uma caixa de correio do Exchange usando um navegador da Web. No entanto, a vulnerabilidade existe na interação entre OWA e o Microsoft Internet Explorer para anexos de mensagens. Se um anexo contém código HTML (Hypertext Markup Language) que inclui script, o script é executado quando o usuário abre o anexo, independentemente do tipo de anexo. Como o OWA requer que script esteja ativado na zona onde o servidor OWA está localizado, esse script pode executar a ação em relação a caixa de correio do Exchange do usuário.

Um invasor pode usar essa vulnerabilidade para construir um anexo que contém o código de script mal-intencionado. O invasor pode então enviar o anexo em uma mensagem para um usuário. Se o usuário abre o anexo no OWA, executa o script e agir em relação a caixa de correio ?s usuário como se o script é o usuário, incluindo, sob determinadas circunstâncias, manipulação de mensagens ou pastas.

Os seguintes fatores são atenuantes:
  • A vulnerabilidade só pode ser explorada se o usuário está usando o OWA em conjunto com o Internet Explorer.
  • A vulnerabilidade só pode ser explorada por anexos que são recebidos usando o OWA. Em geral, um invasor não tem como para determinar se um usuário será aberto um anexo usando o OWA em vez do Microsoft Outlook.
  • Capacidade de um invasor explorar essa vulnerabilidade requer que o invasor convencer o usuário a abrir um anexo de uma fonte não confiável. A prática recomendada é não abrir qualquer anexo de uma fonte desconhecida ou não confiável.

Resolução

Uma correção suportada está agora disponível da Microsoft, mas destina-se somente a corrigir o problema descrito neste artigo. Aplique-o somente aos computadores que correm o risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade com a Internet e outros fatores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin associado para ajudar a determinar o grau de risco. Pode ser nessa correção testes adicionais. Se seu computador está suficientemente em risco, a Microsoft recomenda que você aplicar essa correção agora. Caso contrário, espere o próximo service pack do Microsoft Exchange Server 5.5 que contém essa correção.

Para resolver esse problema imediatamente, baixe a correção seguindo as instruções neste artigo ou entre em contato com o Atendimento Microsoft para obter a correção. Para obter uma lista completa dos números de telefone do Atendimento Microsoft do e informações sobre os custos de suporte, visite o seguinte site:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Observação : em alguns casos, as taxas cobradas pelas ligações para chamadas de suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões e problemas que não se qualificam à atualização específica em questão de suporte adicionais.

Os seguintes arquivos estão disponíveis para download no Centro de download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
Download Q301361i386.exe now
Data de lançamento: 8 de junho de 2001

Para obter informações adicionais sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
119591Como obter arquivos de suporte da Microsoft a partir de serviços online
Microsoft examinou esse arquivo em busca de vírus. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o arquivo foi publicado. O arquivo é armazenado em servidores com segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

A versão em inglês dessa correção deve ter os seguintes atributos de arquivo ou posteriores:

Componente: OWA

Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão
Read.ASPna

Observações
  • Devido às dependências do arquivo, essa correção requer o versão 5.5 do Microsoft Exchange Server Service Pack 4.
  • Você precisa aplicar esta correção em todos os servidores que executar os componentes do OWA. Com o Exchange Server 5.5, você pode instalar os componentes do OWA em um computador que é separado do Exchange Server. Se você instalar o OWA separadamente, você precise executar esse patch em computador separado.
  • Às vezes, depois de aplicar esta correção, os usuários podem obter uma janela em branco quando eles abrem suas mensagens usando o OWA. Se isso ocorrer, reveja o seguinte artigo do Knowledge Base
    314532XWEB: Resolução de problemas em branco corpos de mensagens no Outlook Web

Situação

A Microsoft confirmou que esse problema pode causar um grau de vulnerabilidade de segurança no Microsoft Exchange Server versão 5.5.

Mais Informações

Para obter mais informações sobre essa vulnerabilidade de segurança, consulte o seguinte site:
http://www.microsoft.com/technet/security/bulletin/MS01-030.mspx

Propriedades

ID do artigo: 301361 - Última revisão: quinta-feira, 24 de outubro de 2013 - Revisão: 5.2
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.5 Service Pack 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange Server 5.5 Service Pack 4
Palavras-chave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbexchange550presp5fix kbfix kbqfe KB301361 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 301361

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com