Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

MS04-026 XSS y Spoofing en Exchange Server 5.5 (842436)
 
VSantivirus No. 1497 Año 8, miércoles 11 de agosto de 2004

 MS04-026 XSS y Spoofing en Exchange Server 5.5 (842436)
http://www.vsantivirus.com/vulms04-026.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Una vulnerabilidad en Exchange Server 5.5 Outlook Web Access, puede permitir ataques del tipo Cross-Site-Scripting (XSS), y la falsificación de contenido (Spoofing).

Este boletín es de interés para administradores de sistemas que utilicen servidores que estén ejecutando Microsoft Exchange Server 5.5 Outlook Web Access.

Nivel de gravedad: Moderado
Impacto: Ejecución remota de código
Fecha publicación: 10 de agosto de 2004

Reemplaza:

Esta revisión reemplaza a la proporcionada por el boletín de seguridad MS03-047:

MS03-047 Ataque XSS en Exchange Server 5.5 (828489)
http://www.vsantivirus.com/vulms03-047.htm

Software afectado:

Microsoft Exchange Server 5.5 SP4

Software NO afectado:

Microsoft Exchange 2000 Server
Microsoft Exchange Server 2003

Componentes afectados:

Outlook Web Access

Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.

El soporte para Outlook Web Access para Exchange Server 5.0 ha finalizado.

Nota: los usuarios que han personalizado cualquiera de las páginas ASP en la sección File Information, deberán hacer una copia de seguridad de esos archivos antes de aplicar este parche, para luego recuperarlas. Cualquier personalización necesitará ser aplicada de nuevo.

Descripción

Esta actualización resuelve una nueva vulnerabilidad reportada en forma privada a Microsoft.

Existe una vulnerabilidad del tipo Cross-Site-Scripting (XSS) y de falsificación de contenido (Spoofing), en Outlook Web Access para Exchange Server 5.5, que puede permitir a un atacante interactuar con un usuario para ejecutar un script malicioso. El script se ejecutaría en el contexto de seguridad del usuario, y permitiría el acceso a los mismos recursos que éste.

Un atacante que explote con éxito esta vulnerabilidad, puede llegar a manipular los caches del navegador y de un proxy server, y colocar contenido falsificado en los mismos. También podría ser capaz de explotar esta vulnerabilidad para llevar a cabo ataques del tipo "cross-site scripting".

Una vulnerabilidad Cross-Site Scripting (XSS), permite que un usuario malicioso introduzca un código ejecutable de su elección en la sesión web de otro usuario.

Un atacante debe obtener acceso al Outlook Web Access para intentar explotar esta vulnerabilidad. Si no está permitido el acceso anónimo, solo los usuarios autenticados podrían intentar explotar esta vulnerabilidad.

La vulnerabilidad se produce porque el Outlook Web Access no valida correctamente la entrada proporcionada desde una consulta HTML redireccionada antes que la misma sea enviada al navegador.

Descargas:

Security Update for Exchange 5.5 (KB842436)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
66E4E033-5A4C-4EEC-84F1-31F0CA878092&displaylang=en


Sistemas operativos soportados: Windows 2000, Windows NT

Se requiere Exchange 5.5 SP4 instalado.


Nota:

Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.


Más información:

Microsoft Security Bulletin MS04-026
www.microsoft.com/technet/security/bulletin/MS04-026.asp

Microsoft Knowledge Base Article - 842436
http://support.microsoft.com/?kbid=842436





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS