Microsoft zieht Patch für Outlook-Web-Access-Server 5.5 vor

SicherheitSicherheitsmanagement

Ein Sicherheitsloch im Microsoft-Webmail-System ermöglicht das Ausführen schädlicher Codes. Microsoft muss wieder einmal aus seinem monatlichen Patch-Schema ausbrechen, um schnell auf die Lücke zu reagieren.

Ein Leck im Outlook-Web-Access-Server 5.5 erlaubt über eine HTML-Umleitungsabfrage, die nicht ordentlich geprüft wird, die Ausführung von Scripts sowie Änderungen am Browser-Cache und den Proxy-Einstellungen.

Um schädlichen Code auszuführen, muss der Angreifer den Nutzer nur zu einem falschen Klick innerhalb des Web Access Clients bringen – und schon wird ein Script im Sicherheitskontext des angemeldeten Nutzers ausgeführt.

Der Patch steht schon kurz vor den monatlichen Updates zum Download bereit. Microsoft empfiehlt, vor dem Patchen die ASP-Daten zu sichern, weil diese durch den Patch überspielt werden. Wer nicht sichert, muss sie neu an die eigenen Bedürfnisse anpassen. (mk)

Weitere Infos:

MS Security-Bulletin 04-026 (deutsch)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen