Symptômes
Outlook Web App jeton d’une vulnérabilité d’usurpation de contenu
Il existe un vulnérabilité d’usurpation de jeton dans Microsoft Exchange Server 2007 et Microsoft Exchange Server 2010. Il pourrait permettre à un attaquant d’envoyer des messages électroniques qui semblent provenir d’une source fiable, et les messages contiennent un lien vers un site Web de l’attaquant. Dans un scénario d’attaque web, un attaquant pourrait héberger un site Web qui est utilisé pour tenter d’exploiter cette vulnérabilité. En outre, les compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant peuvent contenir un contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Toutefois, dans presque tous les cas, un agresseur ne peut forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant doit inciter à agir, en général en leur demandant de cliquer sur un lien dans un message électronique ou un message instantané, de prendre des utilisateurs au site Web de son.
Cause
Ce problème se produit car Outlook Web App ne valide pas correctement un jeton de demande.
Résolution
Pour résoudre ces problèmes, installez la mise à jour suivante :
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».