תופעות
סימפטומים 1: פגיעות התחזות אסימון של Outlook Web App
פגיעות התחזות של אסימונים קיימת ב-Microsoft Exchange Server. הודעה זו עלולה לאפשר לתוקף לשלוח הודעות דואר אלקטרוני שנראות כאילו הגיעו ממקור מהימן, וההודעות מכילות קישור לאתר אינטרנט של התוקף. בתרחיש של התקפה מבוססת-אינטרנט, תוקף יכול לארח אתר אינטרנט שנעשה בו שימוש כדי לנסות לנצל פגיעות זו. בנוסף, אתרי אינטרנט ואתרי אינטרנט שנפרצו והמקבלים או מארחים תוכן או פרסומות שסיפקו משתמשים עשויים להכיל תוכן בעל מבנה מיוחד שעשוי לנצל פגיעות זו. עם זאת, כמעט בכל מקרה, תוקף אינו יכול להכריח משתמשים להציג את התוכן הנשלט על-ידי התוקף. במקום זאת, תוקף צריך לשכנע את המשתמשים לנקוט פעולה, בדרך כלל על-ידי לחיצה על קישור בהודעת דואר אלקטרוני או בהודעת Messenger מיידית, כדי להעביר את המשתמשים לאתר האינטרנט שלו.
סימפטומים 2: פגיעות של ניתוב מחדש של כתובת URL של Exchange
תוקף יכול לנתב מחדש משתמש לכתובת URL שרירותית מקישור שנראה שמקורו מתחום ידוע או מהימן.הערות
-
כדי ליצור את הקישור הזדוני, תוקף חייב להיות משתמש מאומת של Exchange ולהיות מסוגל לשלוח הודעות דואר אלקטרוני.
-
הקישור ' זדוני ' עשוי להישלח בדואר אלקטרוני, אך התוקף יצטרך לשכנע את המשתמשים לפתוח את הקישור כדי לנצל את הפגיעות.
תסמיני 3: פגיעויות מרובות של Outlook Web App XSS
תוקף שמצליח לנצל פגיעויות אלה יכול לקרוא תוכן שהוא אינו מורשה לקרוא. התוקף יכול גם להשתמש בזהות הקרבן כדי לבצע פעולות באתר Outlook Web App בשם הקרבן, כגון שינוי הרשאות, מחיקת תוכן והזרקת תוכן זדוני בדפדפן הקרבן.
סיבה
הסיבה לסימפטומים 1
בעיה זו מתרחשת מאחר ש-Outlook Web App אינו מאמת כראוי אסימון בקשה.
הסיבה לתסמינים 2
בעיה זו מתרחשת מאחר ש-Outlook Web App אינו מאמת כראוי אסימונים של ניתוב מחדש.
הסיבה לתסמינים 3
בעיה זו מתרחשת מאחר ש-Exchange Server אינו מאמת כראוי קלט.
פתרון
שיטה 1: Windows Update
עדכון זה זמין מ- Windows update.
שיטה 2: קטלוג העדכונים של Microsoft
כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אתר האינטרנט של הקטלוג של Microsoft update .
שיטה 3: התקנת עדכון
מומלץ להתקין את העדכון המצטבר 7 או עדכון מאוחר יותר המכיל תיקון אבטחה זה עבור Exchange Server 2013.
מצב
Microsoft אישרה שזוהי בעיה במוצרי Microsoft המופיעים בסעיף "חל על".
