Miembros de
Boletines de Vulnerabilidades |
Cross-site scripting y spoofing en Outlook Web Access para Exchange Server 5.5 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Microsoft |
| Software afectado | Microsoft Exchange Server 5.5 SP4 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de cross-site scripting en Exchange Server, por la cual un atacante podría ejecutar código en el sistema de su víctima. Para la explotación, el atacante necesita enviar un email especial que contenga un enlace determinado, y que la víctima pinche en este enlace. El código script resultante se ejecutaría en el contexto de seguridad del usuario que recibe el email, dando al atacante los mismos privilegios de acceso al servidor de Outlook Web Access que tenía el usuario legítimo. Por otra parte, la vulnerabilidad también puede ser utilizada para alterar las cachés de proxies y navegadores, y falsear el contenido almacenado en estas cachés. |
|
Solución |
|
|
Actualización de software Microsoft Exchange Server 5.5 Instale la actualización de seguridad KB842436 http://download.microsoft.com/download/d/f/6/df625ed0-5475-4df0-9364-4dfb2a10ab69/Exchange5.5-KB842436-x86-enu.EXE |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2004-0203 |
| BID | |
Recursos adicionales |
|
|
Microsoft Security Bulletin MS04-026 http://www.microsoft.com/technet/security/Bulletin/MS04-026.mspx |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2004-08-11 |