Vulnerability Bulletins |
Cross-site scripting y spoofing en Outlook Web Access para Exchange Server 5.5 |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
Property | Value |
Affected manufacturer | Microsoft |
Affected software | Microsoft Exchange Server 5.5 SP4 |
Description |
|
Se ha descubierto una vulnerabilidad de cross-site scripting en Exchange Server, por la cual un atacante podría ejecutar código en el sistema de su víctima. Para la explotación, el atacante necesita enviar un email especial que contenga un enlace determinado, y que la víctima pinche en este enlace. El código script resultante se ejecutaría en el contexto de seguridad del usuario que recibe el email, dando al atacante los mismos privilegios de acceso al servidor de Outlook Web Access que tenía el usuario legítimo. Por otra parte, la vulnerabilidad también puede ser utilizada para alterar las cachés de proxies y navegadores, y falsear el contenido almacenado en estas cachés. |
|
Solution |
|
Actualización de software Microsoft Exchange Server 5.5 Instale la actualización de seguridad KB842436 http://download.microsoft.com/download/d/f/6/df625ed0-5475-4df0-9364-4dfb2a10ab69/Exchange5.5-KB842436-x86-enu.EXE |
|
Standar resources |
|
Property | Value |
CVE | CAN-2004-0203 |
BID | |
Other resources |
|
Microsoft Security Bulletin MS04-026 http://www.microsoft.com/technet/security/Bulletin/MS04-026.mspx |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2004-08-11 |