XGEN: Unkorrekte Verarbeitung von Anlagen unter Exchange 2000 OWA

Dieser Artikel wurde zuvor veröffentlicht unter D45084
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
299535 XGEN: Incorrect Attachment Processing in Exchange 2000 Outlook Web Access Can Run Script
Zusammenfassung
Am 06. Juni 2001 hat Microsoft die Originalversion dieses Patch herausgegeben.
Microsoft hat nachfolgend zwei Probleme entdeckt, die eine Aktualisierung des Patch am 08. Juni 2001 erforderlich machten:
  • Diese Anfälligkeit betrifft Microsoft Exchange Server 5.5. Microsoft hat einen Patch entwickelt, der diese Anfälligkeit eliminiert, und empfiehlt Kunden, die Microsoft Outlook Web Access (OWA)-Dienste über Exchange Server 5.5 anbieten, diesen Patch zu installieren. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    301361 XGEN: Incorrect Attachment Processing in Exchange Server 5.5 Outlook Web Access Can Run Script
  • In dem ursprünglich für Exchange 2000 bereitgestellten Patch wurde ein Regressionsfehler entdeckt. Microsoft hat den Fehler korrigiert und eine aktualisierte Version des Patch herausgegeben. Microsoft empfiehlt Kunden, die die Originalversion des Exchange 2000-Patch installiert haben, die aktualisierte Version zu installieren.
Problembeschreibung
OWA ist ein in Exchange 2000 Server enthaltener Dienst, mit dessen Hilfe ein Benutzer über einen Webbrowser auf ein Exchange-Postfach zugreifen kann. Es existiert jedoch eine Anfälligkeit bei der Interaktion zwischen OWA und Microsoft Internet Explorer bezüglich Nachrichtenanlagen. Wenn eine Anlage Hypertext Markup Language (HTML)-Code mit einem Skript enthält, wird das Skript ausgeführt, wenn der Benutzer die Anlage öffnet, unabhängig vom Anlagentyp. Da OWA erfordert, dass Skripts in der Zone, in der sich der OWA-Server befindet, aktiviert werden müssen, kann dieses Skript Aktionen durchführen, die gegen das Exchange-Postfach des Benutzers gerichtet sind.

Ein Angreifer kann diese Anfälligkeit nutzen, um eine Anlage zu konstruieren, die böswilligen Skriptcode enthält. Der Angreifer kann diese Anlage dann mit einer Nachricht an einen Benutzer senden. Wenn der Benutzer die Anlage in OWA öffnet, wird das Skript ausgeführt und kann Aktionen mit dem Postfach des Benutzers durchführen, zu denen sonst nur der Benutzer in der Lage ist. Dies kann, unter gewissen Umständen, die Manipulation von Nachrichten und Ordnern einschließen.

Risiko-mindernde Faktoren:
  • Die Anfälligkeit kann nur ausgenutzt werden, wenn der Benutzer OWA zusammen mit Internet Explorer verwendet.
  • Die Anfälligkeit kann nur von Anlagen ausgenutzt werden, die über OWA empfangen werden. Normalerweise kann ein Angreifer nicht feststellen, ob ein Benutzer eine Anlage mit OWA statt mit Microsoft Outlook öffnet.
  • Ein Angreifer kann diese Anfälligkeit nur ausnutzen, wenn er den Benutzer dazu verleitet, eine Anlage zu öffnen, die aus einer nicht vertrauten Quelle stammt. Die beste Vorgehensweise ist daher, keine Anlagen zu öffnen, die aus unbekannten oder nicht vertrauten Quellen stammen.
Lösung
Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Datum der Freigabe: 08.06.01

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Dateien vom Microsoft Support im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Nach der Bereitstellung befindet sich die Datei auf sicheren Servern, wodurch nicht autorisierte Änderungen an der Datei verhindert werden.

Installieren Sie das neueste Service Pack für Exchange 2000 Server, um dieses Problem zu beheben. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
301378 XGEN: Wie Sie das neueste Service Pack für Exchange 2000 Server erhalten
Status
Microsoft hat bestätigt, dass dieses Problem zu einer gewissen Sicherheitsanfälligkeit bei Microsoft Exchange 2000 Server führen könnte. Dieses Problem wurde erstmals in Microsoft Exchange 2000 Server Service Pack 1 behoben.
Weitere Informationen
Weitere Informationen über diese Sicherheitsanfälligkeit finden Sie auf der folgenden Microsoft-Website:
kbExchange2000preSP1fix security_patch Execute hack update skript dos
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 299535 – Letzte Überarbeitung: 01/28/2014 23:49:25 – Revision: 1.0

Microsoft Exchange 2000 Server Standard Edition

  • kbnosurvey kbarchive kbexchange2000presp1fix KB299535
Feedback