Exchange Server 2010: Microsoft widerruft fehlerhaften Sicherheitspatch

SicherheitSoftwareZusammenarbeit
Microsoft Exchange Logo (Bild: Microsoft)

Er ist die Ursache für Probleme bei der Verbindung zwischen Exchange und Outlook-Clients. Exchange Server 2007 und 2013 sind davon nicht betroffen. Microsoft empfiehlt seinen Anwendern, das Update für Exchange 2010 zu deinstallieren. Besonders heikel ist, dass der Softwarekonzern den Patch vor einem Monat bereits zurückgehalten hatte.

Microsoft hat einen am Dienstag freigegebenen Sicherheitspatch für Exchange Server widerrufen. Allerdings betrifft dies lediglich Exchange Server 2010 Service Pack 3 Update Rollup 8. Die Aktualisierungen für die Exchange-Versionen 2007 und 2013 sowie die Sprachpakete für Exchange Server 2013 Unified Messaging sind nach Angaben des Konzerns aus Redmond dagegen nicht fehlerhaft.

Microsoft Exchange Logo (Bild: Microsoft)

Damit reagiert Microsoft auf Beschwerden von Anwendern, die nach Installation des Patches nicht in der Lage waren, eine Verbindung zwischen ihrem Outlook-Client und dem Exchange Server herzustellen. Der Softwarekonzern hat ihn infolgedessen aus seinem Download-Center entfernt und auch das Ausrollen über Windows Update gestoppt. Betroffenen Anwendern empfiehlt das Unternehmen, das Update zu deinstallieren. Mehr sei nicht erforderlich, um die Verbindung zwischen Outlook und Exchange wiederherzustellen.

Den Patch MS14-075 klassifiziert Microsoft als wichtig. Er korrigiert insgesamt vier Schwachstellen, die unter anderem eine unautorisierte Erweiterung von Nutzerrechten erlauben. Ein Angreifer muss sein Opfer lediglich dazu verleiten, auf eine speziell präparierte URL zu klicken, die wiederum zu einer Outlook-Web-App-Website führt. Einige der Anfälligkeiten lassen sich allerdings auch für Spoofing-Attacken ausnutzen, da die Outlook Web App Anforderungstokens unter Umständen nicht ausreichend überprüft.

Besonders pikant ist, dass Microsoft den Exchange-Patch ursprünglich bereits für den November-Patchday angekündigt hatte. Am 11. November hielt es dann aber zwei Sicherheitsaktualisierungen ohne Angabe von Gründen zurück, unter anderem auch das fragliche Exchange-Update. Das zweite Update – ein Patch für eine Zero-Day-Lücke in Windows – reichte es am 18. November nach.

Microsoft hat in den letzten Monaten schon mehrfach fehlerhafte Updates zurückgezogen. Im September waren zum Beispiel Lync Server und OneDrive for Business betroffen. Im August waren überdies ein Sicherheitsupdate sowie mehrere nicht sicherheitsrelevante Aktualisierungen zunächst entfernt und später in Form von neuen Patches wieder freigegeben worden. Auch Apple musste Probleme bei der Qualitätssicherung zugeben und zog Ende September einen Fix für iOS 8 sowie Anfang des Monats Sicherheitsaktualisierungen für Safari 6, 7 und 8 zurück.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen