微軟 Exchange 伺服器提高權限漏洞

最後更新 2015年03月12日發佈日期: 2015年03月11日 780 觀看次數

風險: 中度風險

類型: 伺服器 - 其他伺服器

多個 OWA XSS 資訊安全風險
當 Microsoft Exchange Server 未在 Outlook Web App 中正確清理頁面內容時，就會存在權限提高資訊安全風險。攻擊者可修改 Outlook Web App 中的特定內容，然後引誘使用者瀏覽至選定的 Outlook Web App 網站，進而利用這些資訊安全風險。成功利用這些資訊安全風險的攻擊者，能以目前使用者的權限層級執行指令碼。舉例來說，指令碼接著可能會在受影響的 Outlook Web App 網站上冒充受害者，代表與目前使用者具有相同權限的受害者採取動作。任何用來存取受影響版本之 Outlook Web App 的系統都有可能遭受攻擊。更新可修正 Exchange Server 清理 Outlook Web App 中頁面內容的方式，進而解決這些資訊安全風險。
Exchange 偽造的會議邀請詐騙資訊安全風險
當 Exchange 在接受或修改會議要求時無法正確驗證會議召集人身分時，Exchange Server 存在詐騙資訊安全風險。成功利用這項資訊安全風險的攻擊者接著可使用此資訊安全風險來排程或修改會議，讓他人誤以為是來自合法會議召集人所召開的會議。使用受影響版本 Exchange Server 的客戶存在此資訊安全風險。此更新可修正 Exchange 在 Exchange 行事曆中接受、排程或修改會議要求時驗證會議召集人身分的方式，進而解決此資訊安全風險。