Atualização de segurança de dezembro de 2014 para Exchange Server 2013 Service Pack 1 e Update Cumulativo 6

Sintomas

Sintomas 1: Outlook Web App Token Spoofing Vulnerabilidade

Existe uma vulnerabilidade simbólica no Microsoft Exchange Server. Poderia permitir que um intruso enviasse mensagens de e-mail que parecem vir de uma fonte confiável, e as mensagens contêm um link para um site do intruso. Num cenário de ataque baseado na web, um intruso poderia hospedar um site que é usado para tentar explorar esta vulnerabilidade. Além disso, websites e websites comprometidos que aceitem ou hospedam conteúdo ou anúncios fornecidos pelo utilizador podem conter conteúdo especialmente elaborado que possa explorar esta vulnerabilidade. No entanto, em quase todos os casos, um intruso não pode forçar os utilizadores a visualizar o conteúdo controlado pelo atacante. Em vez disso, um intruso teria de convencer os utilizadores a tomar medidas, normalmente fazendo-os clicar num link numa mensagem de e-mail ou numa mensagem instant messenger, para levar os utilizadores ao seu website.

Sintomas 2: Vulnerabilidade de reorientação do URL de troca

Um intruso pode redirecionar um utilizador para um URL arbitrário a partir de um link que parece ter origem num domínio conhecido ou de confiança.Notas

  • Para gerar o link malicioso, um intruso já deve ser um utilizador de Intercâmbio autenticado e ser capaz de enviar mensagens de correio eletrónico.

  • O link malicioso poderia ser enviado num e-mail, mas o atacante teria de convencer os utilizadores a abrir o link para explorar a vulnerabilidade.

Sintomas 3: Vulnerabilidades xSS da aplicação web de várias perspetivas

Um intruso que explora com sucesso estas vulnerabilidades poderia ler conteúdo que ele ou ela não está autorizado a ler. O agressor também poderia usar a identidade da vítima para tomar ações no site da App Outlook em nome da vítima, como alterar permissões, apagar conteúdo e injetar conteúdo malicioso no navegador da vítima.

Causa

Causa para sintomas 1

Este problema ocorre porque o Outlook Web App não valida adequadamente um token de pedido.

Causa para sintomas 2

Este problema ocorre porque o Outlook Web App não valida adequadamente tokens de reorientação.

Causa para sintomas 3

Este problema ocorre porque o Exchange Server não valida corretamente a entrada.

Resolução

Método 1: Atualização do Windows

Esta atualização está disponível a partir do .

Método 2: Catálogo de atualizações da Microsoft

Para obter o pacote autónomo para esta atualização, vá ao site do Microsoft Update Catalog.

Método 3: Instalar uma atualização

Recomendamos a instalação de ou uma atualização posterior que contenha esta correção de segurança para o Exchange Server 2013.

Estado

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×