Sicherheitsanfälligkeiten in Outlook Web Access für Exchange Server können Erhöhung von Berechtigungen ermöglichen

Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung bei der Datenüberprüfung in Outlook Web Access für Exchange Server
Dies ist eine Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung in den betroffenen Versionen von Outlook Web Access (OWA) für Exchange Server. Ein Ausnutzen der Sicherheitsanfälligkeit könnte zu einer Erhöhung von Berechtigungen auf individuellen OWA-Clients führen, wenn diese eine Verbindung zu Outlook Web Access für Exchange Server herstellen. Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer einen Benutzer dazu verleiten, eine speziell gestaltete E-Mail zu öffnen, um schädliches Skript innerhalb eines individuellen OWA-Clients auszuführen. Das schädliche Skript könnte dann im Sicherheitskontext der OWA-Sitzung des Benutzers ausgeführt werden und alle Aktionen ausführen, zu denen der Benutzer berechtigt wäre. Der Angreifer könnte z. B. als angemeldeter Benutzer E-Mails lesen, senden und löschen.

Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung bei der HTML-Analyse von Outlook Web Access für Exchange Server
Dies ist eine Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung in den betroffenen Versionen von Outlook Web Access (OWA) für Exchange Server. Ein Ausnutzen der Sicherheitsanfälligkeit könnte zu einer Erhöhung von Berechtigungen auf individuellen OWA-Clients führen, wenn diese eine Verbindung zu Outlook Web Access für Exchange Server herstellen. Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer einen Benutzer dazu verleiten, eine speziell gestaltete E-Mail zu öffnen, um dadurch schädliches Skript in einem individuellen OWA-Client auszuführen. Das Skript würde im Sicherheitskontext der OWA-Sitzung des Benutzers ausgeführt werden und alle Aktionen ausführen, zu denen der Benutzer berechtigt wäre. Der Angreifer könnte z. B. als angemeldeter Benutzer E-Mails lesen, senden und löschen.

Betroffene Software

  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2007 Service Pack 1

Hier fehlt ein Programm? Dann melden Sie uns die Softwareperle über das spezielle Anmeldeformular.
Danke sagt das WinTotal-Team.