跳至主內容

微軟 Exchange 伺服器多個權限漏洞

最後更新 2014年12月16日 發佈日期: 2014年12月10日 1140 觀看次數

風險: 中度風險

類型: 伺服器 - 其他伺服器

類型: 其他伺服器
  1. Outlook Web App 語彙基元偽造資訊安全風險
    當 Microsoft Outlook Web App (OWA) 無法正確驗證要求語彙基元時,Exchange Server 中存在語彙基元偽造資訊安全風險。成功利用此資訊安全風險的攻擊者可使用此資訊安全風險,以傳送看似來自攻擊者以外之使用者 (例如來自信任來源) 的電子郵件。透過 Outlook Web App 存取其 Exchange Server 電子郵件的客戶,是這項資訊安全風險的主要目標。此更新可確保 Outlook Web App 正確驗證要求語彙基元,藉此消除此資訊安全風險。

  2. 多個 OWA XSS 資訊安全風險
    當 Microsoft Exchange Server 未正確驗證輸入時,就會存在權限提高資訊安全風險。成功利用這些資訊安全風險的攻擊者,能以目前使用者的權限層級執行指令碼。例如,攻擊者能讀取該攻擊者無權讀取的內容、冒充受害者的身分在 Outlook Web App 網站上進行變更權限及刪除內容等動作,以及將惡意內容插入受害者的瀏覽器。任何用來存取受影響版本之 Outlook Web App 的系統都有可能遭受攻擊。此更新會確保 URL 已正確清理,以解決這些資訊安全風險。

    使用者必須點選能將使用者帶到目標 Outlook Web App 網站之蓄意製作的 URL,攻擊者才有機會利用這些資訊安全風險。

  3. Exchange URL 重新導向資訊安全風險
    當 Microsoft Outlook Web App (OWA) 無法正確驗證重新導向語彙基元時,Microsoft Exchange 中存在偽造資訊安全風險。成功利用這項資訊安全風險的攻擊者,可將使用者從看似來自使用者所在網域的連結,重新導向至任意網域。攻擊者可使用此資訊安全風險,以傳送看似來自攻擊者以外之使用者的電子郵件。透過 Outlook Web App 存取其 Exchange Server 電子郵件的客戶,是這項資訊安全風險的主要目標。此更新會確保 URL 已正確清理,以解決此資訊安全風險。

 


影響

  • 權限提升

受影響之系統或技術

  • 微軟 Exchange 伺服器 2007 Service Pack 3
  • 微軟 Exchange 伺服器 2010 Service Pack 3
  • 微軟 Exchange 伺服器 2013 Service Pack 1
  • 微軟 Exchange 伺服器 2013 積存更新 6

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。


漏洞識別碼


資料來源


相關連結