微軟 Exchange 伺服器多個權限漏洞
最後更新
2014年12月16日
發佈日期:
2014年12月10日
1140
觀看次數
風險: 中度風險
類型: 伺服器 - 其他伺服器
- Outlook Web App 語彙基元偽造資訊安全風險
當 Microsoft Outlook Web App (OWA) 無法正確驗證要求語彙基元時,Exchange Server 中存在語彙基元偽造資訊安全風險。成功利用此資訊安全風險的攻擊者可使用此資訊安全風險,以傳送看似來自攻擊者以外之使用者 (例如來自信任來源) 的電子郵件。透過 Outlook Web App 存取其 Exchange Server 電子郵件的客戶,是這項資訊安全風險的主要目標。此更新可確保 Outlook Web App 正確驗證要求語彙基元,藉此消除此資訊安全風險。 - 多個 OWA XSS 資訊安全風險
當 Microsoft Exchange Server 未正確驗證輸入時,就會存在權限提高資訊安全風險。成功利用這些資訊安全風險的攻擊者,能以目前使用者的權限層級執行指令碼。例如,攻擊者能讀取該攻擊者無權讀取的內容、冒充受害者的身分在 Outlook Web App 網站上進行變更權限及刪除內容等動作,以及將惡意內容插入受害者的瀏覽器。任何用來存取受影響版本之 Outlook Web App 的系統都有可能遭受攻擊。此更新會確保 URL 已正確清理,以解決這些資訊安全風險。
使用者必須點選能將使用者帶到目標 Outlook Web App 網站之蓄意製作的 URL,攻擊者才有機會利用這些資訊安全風險。 - Exchange URL 重新導向資訊安全風險
當 Microsoft Outlook Web App (OWA) 無法正確驗證重新導向語彙基元時,Microsoft Exchange 中存在偽造資訊安全風險。成功利用這項資訊安全風險的攻擊者,可將使用者從看似來自使用者所在網域的連結,重新導向至任意網域。攻擊者可使用此資訊安全風險,以傳送看似來自攻擊者以外之使用者的電子郵件。透過 Outlook Web App 存取其 Exchange Server 電子郵件的客戶,是這項資訊安全風險的主要目標。此更新會確保 URL 已正確清理,以解決此資訊安全風險。
影響
- 權限提升
受影響之系統或技術
- 微軟 Exchange 伺服器 2007 Service Pack 3
- 微軟 Exchange 伺服器 2010 Service Pack 3
- 微軟 Exchange 伺服器 2013 Service Pack 1
- 微軟 Exchange 伺服器 2013 積存更新 6
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
漏洞識別碼
資料來源
相關連結
分享至