Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-615

[MS/Exchange] Schwachstelle im MS Exchange 5.5 Server OWA
(2001-12-07 14:05:08+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/12/msg00069.html

Durch eine Schwachstelle im Outlook Web Access (OWA) Dienst des Microsoft Exchange 5.5 Servers kann beliebiger, in HTML-E-Mails enthaltener Scriptcode bei der Betrachtung mit dem Microsoft IE ausgeführt werden.

Betroffene Systeme

Einfallstor
Betrachtung einer HTML-E-Mail mit dem IE auf Exchange 5.5 Servern mit OWA

Auswirkung
Beliebiger in der HTML-E-Mail beinhalteter Scriptcode wird mit den Privilegien des Benutzers ausgeführt, wodurch Zugriffe auf die Exchange-Mailbox (Mails versenden, löschen, ...) möglich sind.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Microsoft Exchange 5.5 Outlook Web Access (OWA) Dienst erlaubt webbasierten Zugriff auf die Exchange Mailbox.

Im Zusammenspiel des Microsoft Internet Explorers und Outlook Web Access (OWA) auf Exchange 5.5 Servern existiert eine Schwachstelle, die bewirkt, daß in HTML-E-Mails beinhalteter Scriptcode beim Öffnen von Nachrichten ausgeführt werden kann. Der Scriptcode wird dabei mit den Privilegien des Anwenders ausgeführt und hat beispielsweise Zugriff auf die Mailbox des Anwenders, wodurch E-Mails versandt, verschoben oder gelöscht werden können.

Outlook Web Access (OWA) setzt die Aktivierung von Active Scripting voraus, wodurch Deaktivierung von Scriptcode nicht möglich ist.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=615