December 2014 aktualizácia zabezpečenia pre Exchange Server 2013 Service Pack 1 a Kumulatívna aktualizácia 6

Príznaky

Príznaky 1: chyba zabezpečenia tokenu falšovania v aplikácii Outlook Web App

Na serveri Microsoft Exchange Server existuje Napadnuteľnosť tokenu. Môže umožniť útočníkovi odosielať e-mailové správy, ktoré sa zdajú pochádzať z dôveryhodného zdroja, a správy obsahujú prepojenie na webovú lokalitu útočníka. V scenári webového útoku môže útočník hostiť webovú lokalitu, ktorá sa používa na vyskúšanie tejto zraniteľnosti. Okrem toho, ohrozené webové lokality a webové lokality, ktoré akceptujú alebo používajú obsah alebo reklamy vytvorené používateľom, môžu obsahovať špeciálne vytvorený obsah, ktorý by mohol zneužiť túto zraniteľnosť. V takmer každom prípade však útočník nemôže vynútiť používateľov, aby zobrazili riadený obsah útočníka. Namiesto toho bude musieť útočník presvedčiť používateľov, aby vykonali kroky, zvyčajne tým, že kliknú na prepojenie v e-mailovej správe alebo v správe cez okamžité správy, aby sa používateľom zobrazila webová lokalita.

Príznaky 2: zraniteľnosť presmerovania URL adresy servera Exchange

Útočník môže presmerovať používateľa na ľubovoľnú URL adresu z prepojenia, z ktorého sa zdá, že pochádzajú zo známej alebo dôveryhodnej domény.Poznámky

  • Ak chcete vytvoriť škodlivé prepojenie, útočník už musí byť overeným používateľom servera Exchange a môže byť schopný odosielať e-mailové správy.

  • Škodlivé prepojenie sa môže odoslať e-mailom, ale útočník bude musieť presvedčiť používateľov, aby otvorili prepojenie s cieľom zneužiť zraniteľnosť.

Príznaky 3: viac Outlook Web App XSS zraniteľnosť

Útočník, ktorý úspešne využíva tieto chyby, môže prečítať obsah, ktorý nemá povolenie na čítanie. Útočník môže tiež použiť identitu obete na vykonávanie akcií na lokalite aplikácie Outlook Web App v mene obete, ako je napríklad zmena povolení, odstraňovanie obsahu a vstrekovanie škodlivého obsahu v prehliadači obete.

Príčina

Príčina príznakov 1

Tento problém sa vyskytuje, pretože aplikácia Outlook Web App nesprávne neoveruje token žiadosti.

Príčina príznakov 2

Tento problém sa vyskytuje, pretože aplikácia Outlook Web App nesprávne neoveruje tokeny presmerovania.

Príčina príznakov 3

Tento problém sa vyskytuje, pretože Exchange Server správne neoveruje vstup.

Riešenie

Postup 1: Windows Update

Táto aktualizácia je k dispozícii na .

Metóda 2: Katalóg aktualizácie spoločnosti Microsoft

Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update .

Metóda 3: Inštalácia aktualizácie

Odporúčame nainštalovať alebo novšiu aktualizáciu, ktorá obsahuje túto opravu zabezpečenia pre Exchange Server 2013.

Stav

Spoločnosť Microsoft potvrdzuje, že ide o problém v produktoch spoločnosti Microsoft, ktoré sú uvedené v tomto článku v časti Informácie v tomto článku sa týkajú nasledujúcich produktov.

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Považujete poskytnuté informácie za užitočné?

Ďakujem za vaše pripomienky!

×