Un dels serveis que més problemes està originant als usuaris d'Exchange és l'"Outlook Web Access" (OWA). En aquesta ocasió, el problema pot permetre l'execució automàtica d'scripts a l'accedir a un missatge.
"Outlook Web Access" (OWA) és un servei d'Exchange 5.5 Server que permet als usuaris accedir i manipular els missatges existents a la seva carpeta Exchange des de qualsevol navegador web. Hi ha un problema en la forma en que es tracten els scripts inclosos als missatges des de l'Internet Explorer (IE).
Si un missatge HTML que conté un script especialment creat s'obre des d'OWA, l'script pot arribar a executar-se al moment d'obrir el missatge. Com per tal d'accedir a OWA cal que el navegador estigui configurat dins d'una zona on es permeti l'execució d'scripts, això provoca una vulnerabilitat ja que l'script pot realitzar qualsevol acció a la bústia de correu de l'usuari, el que inclou enviar, moure o esborrar missatges.
Un atacant podrà explotar aquest problema amb l'enviament d'un missatge especialment manipulat a un altre usuari. Si l'usuari receptor obre el missatge a OWA, l'script s'executarà. Per contra, si el missatge es llegeix des d'un client de correu normal (i no des d'un navegador a traves d'OWA), l'atac fallarà.
Microsoft ha publicat una actualització per a l'Explorer 5.5 que està disponible a l'adreça:
http://download.microsoft.com/download/exch55/Patch/
05.05.77.2655/NT45/EN-US/Q313576engi386.EXE
A hores d'ara, l'actualització només està disponible per a la versió en anglès.
Més informació
Butlletí de seguretat de Microsoft (MS01-057)
http://www.microsoft.com/technet/security/
bulletin/ms01-057.asp
Antonio Ropero
antonior@hispasec.com
|
