Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

MS03-047 Ataque XSS en Exchange Server 5.5 (828489)
 
VSantivirus No. 1198 Año 7, Sábado 18 de octubre de 2003

MS03-047 Ataque XSS en Exchange Server 5.5 (828489)
http://www.vsantivirus.com/vulms03-047.htm

Por Lissette Zapata
liszapata@videosoft.net.uy


Una vulnerabilidad en el Outlook Web Access de Microsoft Exchange Server 5.5, puede permitir un ataque del tipo Cross-Site-Scripting (XSS). Afecta solo al Microsoft Exchange Server 5.5

Nivel de Gravedad: Moderado

Programas Afectados:

Microsoft Exchange Server 5.5, Service Pack 4

Programas No Afectados:

Microsoft Exchange 2000 Server
Microsoft Exchange Server 2003

Descripción

Esta vulnerabilidad del tipo Cross-Site Scripting (XSS), es el resultado de la manera en que el Outlook Web Access (OWA), genera el código HTML para el formulario de creación de un nuevo mensaje.

Una vulnerabilidad Cross-Site Scripting (XSS), permite que un usuario malicioso introduzca un código ejecutable de su elección en la sesión web de otro usuario (http://www.microsoft.com/technet/security/news/crssite.asp).

Un atacante podría aprovecharse de esta vulnerabilidad, haciendo que un usuario (víctima), ejecute un script en su beneficio. El script se ejecutaría en el contexto de seguridad del usuario, usando las configuraciones de seguridad del OWA en ese sitio Web (o de otro sitio Web que se aloje en el mismo servidor), permitiendo al atacante acceder a cualquier dato que pertenezca al sitio al cuál el usuario tiene acceso.

Para aprovecharse de esta vulnerabilidad a través del OWA, un atacante tendría que enviar un mensaje de correo electrónico que contenga un enlace especialmente construido para ese usuario y éste debería hacer clic sobre ese enlace.

Para explotar de otra manera ésta vulnerabilidad, el atacante tendría que saber el nombre del servidor de Exchange del usuario y entonces persuadir a éste para abrir un enlace especialmente creado desde otra fuente, mientras el usuario tiene una sesión activa en el OWA.

Nota: los usuarios que han personalizado cualquiera de las páginas ASP en la sección File Information, deberán hacer una copia de seguridad de esos archivos antes de aplicar este parche, para luego recuperarlas. Cualquier personalización necesitará ser aplicada de nuevo.

Rating de Severidad:

Exchange Server 5.5 Outlook Web Access: Moderada


IMPORTANTE

Actualizaciones:

10/ago/04 - Este parche ha sido sustituido por un nuevo parche acumulativo:

MS04-026 XSS y Spoofing en Exchange Server 5.5 (842436)
http://www.vsantivirus.com/vulms04-026.htm



Nota:

Antes de instalar este parche por favor verifique que los sistemas operativos que se mencionan tengan instalados los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o llevarse a cabo de manera incorrecta.

Más información:

Microsoft Security Bulletin MS03-047
http://www.microsoft.com/technet/security/bulletin/MS03-047.asp
http://www.microsoft.com/security/security_bulletins/ms03-047.asp

Microsoft Knowledge Base Article - 828489
http://support.microsoft.com/?kbid=828489




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS