XGEN: Anexo incorrecto de processamento no Exchange Server 5.5 no Outlook Web Access pode executar script

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 301361
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Para obter informações adicionais sobre um problema semelhante que poderá ocorrer no Exchange 2000 Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
299535XGEN: Anexo incorrecto de processamento no Exchange 2000 Outlook Web Access pode executar scripts
Sintomas
Microsoft Outlook Web Access (OWA) é um serviço do Exchange Server 5.5 e Exchange 2000 Server que um utilizador pode utilizar para aceder a uma caixa de correio do Exchange utilizando um browser. No entanto, existe vulnerabilidade na interacção entre o OWA e o Microsoft Internet Explorer para anexos de mensagens. Se um anexo contiver código HTML (Hypertext Markup Language) que inclui um script, o script é executado quando o utilizador abre o anexo, independentemente do tipo de anexo. Uma vez que OWA requer que o processamento de scripts esteja activado na zona de onde está localizado o servidor OWA, este script pode tomar medidas contra caixa de correio do utilizador Exchange.

Um intruso pode utilizar esta vulnerabilidade para criar um anexo que contém o código script mal intencionado. O intruso pode então enviar o anexo numa mensagem para um utilizador. Se o utilizador abre o anexo no OWA, executa a script e pode actuar contra caixa de correio ’s utilizador como se o script é o utilizador, incluindo, em determinadas circunstâncias, manipulação de mensagens ou pastas.

O seguinte é Factores atenuantes:
  • A vulnerabilidade só pode ser explorada se o utilizador estiver a utilizar OWA em conjunto com o Internet Explorer.
  • A vulnerabilidade só pode ser explorada por anexos que são recebidos utilizando o OWA. Em geral, um intruso não tem nenhuma forma de determinar se um utilizador irá abrir um anexo utilizando o OWA em vez do Microsoft Outlook.
  • Capacidade de um intruso explorar esta vulnerabilidade requer que o intruso levar o utilizador abrir um anexo de uma origem que não considere fidedigna. O procedimento recomendado é não abra qualquer anexo de uma origem desconhecida ou que não considere fidedigna.
Resolução
Agora é disponibilizada pela Microsoft uma correcção suportada, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em computadores que considere estarem em risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade da Internet e outros factores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin associado para ajudar a determinar o grau de risco. Esta correcção poderá ser submetida a testes adicionais. Se o computador estiver suficientemente susceptíveis, a Microsoft recomenda que aplique esta correcção agora. Caso contrário, aguarde pelo próximo service pack do Microsoft Exchange Server 5.5 que contenha esta correcção.

Para resolver este problema imediatamente, transfira a correcção, seguindo as instruções deste artigo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa de números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft: Nota : em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem na atualização específica em questão.

Os ficheiros seguintes estão disponíveis para transferência a partir do Centro de transferências da Microsoft:
Data de edição: 8 de Junho de 2001

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
119591Como obter ficheiros de suporte da Microsoft a partir de serviços on-line
Microsoft procedeu de vírus neste ficheiro. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o ficheiro foi publicado. O ficheiro é alojado em servidores com segurança avançada que o ajudam a impedir alterações não autorizadas ao ficheiro.

A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:

Componente: OWA

Nome de ficheiroVersão
Read.aspthe

notas
  • Devido a dependências ficheiro, desta correcção requer o Microsoft Exchange Server versão 5.5 Service Pack 4.
  • Necessitar de aplicar esta correcção de todos os servidores que executam os componentes OWA. Com o Exchange Server 5.5, é possível instalar os componentes OWA num computador que está separado do Exchange Server. Se instalou o OWA separadamente, terá de executar este patch num computador diferente.
  • Por vezes, depois de aplicar esta correcção, os utilizadores podem obter uma janela em branco quando abrem as mensagens com o OWA. Se isto ocorrer, verifique leia o seguinte artigo da base de dados de conhecimento da
    314532XWEB: Resolução de problemas em branco corpos de mensagens no Outlook Web
Ponto Da Situação
A Microsoft confirmou que este problema poderá provocar um grau de vulnerabilidade da segurança no Microsoft Exchange Server versão 5.5.
Mais Informação
Para mais informações sobre esta vulnerabilidade de segurança, consulte o seguinte Web site da Microsoft:
security_patch

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 301361 - Última Revisão: 02/05/2014 17:53:00 - Revisão: 5.2

Microsoft Exchange Server 5.5 Standard Edition, Microsoft Exchange Server 5.5 Service Pack 1, Microsoft Exchange Server 5.5 Service Pack 2, Microsoft Exchange Server 5.5 Service Pack 3, Microsoft Exchange Server 5.5 Service Pack 4

  • kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbexchange550presp5fix kbfix kbqfe KB301361 KbMtpt
Comentários