Cross-Site Scripting a través de Outlook Web Access en Exchange Server


Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se encuentra el anuncio (en el boletín MS08-039) de una actualización para Exchange Server que solventa dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para realizar ataques de cross-site scripting.





* La primera vulnerabilidad está causada porque Outlook Web Access (OWA) para Exchange Server no valida de forma suficiente los campos del email al abrirlo en una sesión individual de OWA. Esto podría ser explotado por un atacante remoto para acceder a los datos de la sesión individual del cliente de OWA, permitiendo una escalada de privilegios.

* La segunda vulnerabilidad está causada porque Outlook Web Access (OWA) para Exchange Server no valida de forma adecuada el HTML al mostrar los emails en una sesión individual de OWA. Esto podría ser explotado por un atacante remoto para ejecutar código JavaScript o HTML en el contexto de de la sesión del navegador de un usuario que visita un sitio web afectado.

Éste parche de seguridad reemplaza a otro previo (MS07-026) para Microsoft Exchange Server 2007.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Exchange Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=E099C1D1-5AF6-4D6C-B735-9599412B3131&displaylang=es

* Microsoft Exchange Server 2007:
http://www.microsoft.com/downloads/details.aspx?familyid=086A2A13-A1DE-4B1D-BD12-B148BFD2DAFA&displaylang=es

* Microsoft Exchange Server 2007 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=63E7F26C-92A8-4264-882D-F96B348C96AB&displaylang=es

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3549/comentar

Más Información:

Boletín de seguridad de Microsoft MS08-039 ? Importante
Vulnerabilidades en Outlook Web Access para Exchange Server podrían permitir la elevación de privilegios
http://www.microsoft.com/spain/technet/security/bulletin/ms08-039.mspx

Laboratorio Hispasec
hispasec.com



Otras noticias de interés:

Sitio de McAfee vulnerable al Cross-Site Scripting.
El sitio readwriteweb.com informa que el propio website de la popular empresa de seguridad americana McAfee, podría haber contenido por un descuidado diseño en cuanto las restricciones de seguridad, una vulnerabilidad del tipo Cross-Site Scripting....
La nueva versión de la licencia GNU FDL ya es compatible con CC-BY-SA
El 3 de noviembre próximo pasado se publicó la licencia GFDL 1.3 cuya principal mejora es que se hace compatible con la licencia copyleft creative commons by-sa. ...
Festival Tecnológico de Software Libre de Guayana - Venezuela
En el marco del Proyecto de Implantación de Software Libre en CVG EDELCA, la Dirección de Telemática, los invita al Festival Tecnológico de Software Libre de Guayana evento que se realizará el domingo 19 de Noviembre de 2006 en el Hotel Inter...
Se hace público el código de ataque utilizado contra Google
El peligroso código de ataque utilizado el mes pasado contra las redes corporativas de Google y que explotaba una vulnerabilidad en Internet Explorer se ha hecho público. El código fue sometido el jueves a análisis en el sitio web de examen de ma...
Detalles sobre la vulnerabilidad de Microsoft Excel
Microsoft ha publicado nuevos detalles sobre la vulnerabilidad que afecta a Microsoft Excel, junto con algunas técnicas para mitigar el posible impacto. El fallo se debe a una validación errónea de memoria que puede derivar en la ejecución de có...
99% de los problemas de seguridad es por fallos internos
El 99% de las brechas de seguridad que se producen en la empresa en el acceso a datos responden a fallos internos. Iron Mountain ha presentado los resultados de un estudio realizado sobre 350 empresas europeas, donde se revelan las principales carenc...
El estándar final para WiFi de alta velocidad está cada vez más cerca
La búsqueda de una base común para la emergente especificación IEEE 802.11n WLAN de alta velocidad ha llevado a varios fabricantes a unirse para realizar una propuesta que podría ser el principio del estándar ...
Ejecución de código vía Firefox y QuikTime plugin
Se ha reportado una vulnerabilidad multiplataforma del tipo Zero-day, que permite la ejecución de código malicioso a través de Firefox y el plugin para QuickTime....
Pérez Martí: Software libre es ejemplo del éxito del modelo solidario
El software libre (SL) es un tremendo ejemplo del éxito del modelo solidario de producción y distribución de bienes entre las comunidades que trabajan para sí mismas, según lo aseguró el vocero de la Asociación Venezolana por el Software Libre...
Open Cloud Consortium promoverá la interoperatividad de la informática en nube
Un grupo de universidades ha creado Open Cloud Consortium (OCC), una de cuyas misiones será promover la interoperatividad entre las clouds que hoy día están creando ya proveedores de servicios y empresas mediante estándares abiertos, evitando as...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • access
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exchange
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • outlook
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • server
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • traves
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra