Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Vulnerabilidad en Outlook Web Access (MS01-030)
 
VSantivirus No. 344 - Año 5 - Domingo 17 de junio de 2001

Vulnerabilidad en Outlook Web Access (MS01-030)
Por Alejandro Germán Rodríguez (*)

Microsoft ha emitido una alerta de seguridad indicando que existe una vulnerabilidad en el servicio OWA (Outlook Web Access) de Exchange en sus versiones 2000 y 5.5.

Dicho servicio utilizado para permitir acceder a la casilla de Exchange mediante el navegador IE (Internet Explorer), tendría una falla que permitiría a un script adjunto a un mensaje, ejecutarse cuando se abra el adjunto.

Este script podría ser utilizado para efectuar acciones contra el casilla de correo del usuario y dadas ciertas condiciones se podría llegar a manipular los mensajes o las carpetas.

Existen algunos elementos que atenúan la gravedad de esta vulnerabilidad, como ser:

El que el usuario se verá afectado solo si utiliza el servicio OWA junto con IE.

Como el ataque se realiza mediante los adjuntos, el usuario malicioso deberá saber que el mail, especialmente creado será abierto con los servicios afectados y no con otro cliente de correo.

Para logra explotar la vulnerabilidad se necesitará que el usuario abra el adjunto, con el script, las sanas normas de seguridad no recomiendan la apertura de adjuntos en correo no solicitado.

La implementación del parche por parte de Microsoft, no ha sido muy feliz, toda vez que ya se ha emitido una tercera versión, debido a que las dos implementaciones anteriores tuvieron inconvenientes tales como problemas de regresión, el descubrimiento que la vulnerabilidad también afectaba a la versión 5.5 de Exchange, etc.

Más Información:
http://www.microsoft.com/technet/security/bulletin/ms01-030.asp

Parche para download:

Microsoft Exchange Server 5.5:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30568

Microsoft Exchange 2000 Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30569


(*) Alejandro Germán Rodríguez
Peligros_en_la_red-owner@onelist.com
http://es.egroups.com/group/Peligros_en_la_red
ICQ # 44796626
 

Copyright 1996-2001 Video Soft BBS