Patch Day August 2004: Patch nach den Patches
Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Patch Day August 2004: Patch nach den Patches  (Gelesen 1021 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.503
Patch Day August 2004: Patch nach den Patches
« am: 11. August 2004, 15:40:14 »

Die besonders dringenden Updates für MSIE und Windows XP hat Microsoft vorgezogen. Außerdem ist noch eine mittelschwere Lücke im Outlook-Web-Access-Dienst des Exchange Server 5.5 zu stopfen.

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste kritischer Bugs samt zugehörigen Fixes. Durch diesen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

In diesem Monat hat das allerdings offensichtlich nicht so recht geklappt. Bereits am 30. Juli musste Microsoft ein kumulatives Patch-Paket für den Internet Explorer vorausschieben, dessen zu diesem Zeitpunkt haarsträubende Sicherheitslücken bereits ein deutliches Abwandern der Benutzer zu Browser-Alternativen verursacht hatten. Auch das lange erwartete und mehrfach verschobene Service Pack 2 für Windows XP konnte man in Redmond scheinbar nicht mehr bis zum regulären Patch-Day-Termin am 10. August aussitzen und veröffentlichte es bereits am Vortag.

Damit beschränken sich die von Microsoft als gefährlich erachteten Schwachstellen diesen Monat auf eine mittelschwere Lücke in der Outlook-Web-Access-Komponente des Exchange Server 5.5. Über Outlook Web Access (OWA) können Benutzer via Webbrowser auf ihr Exchange-Postfach zugreifen. Ein Exchange-Server mit OWA kann auch als Website fungieren, auf der die Benutzer E-Mails lesen oder verfassen und ihre Kalender verwalten.

Ursache des Problems ist ein Fehler bei der Überprüfung von HTML-Umleitungsanfragen. Dies kann der Angreifer mittels einer speziell präparierten E-Mail-Nachricht ausnutzen, um beliebigen HTML- und Script-Code im Sicherheitskontext des attackierten Benutzers auszuführen. Dazu muss er das Opfer allerdings dazu verleiten, einen Link in der Nachricht anzuklicken.

Über eine erfolgreiche Attacke kann der Angreifer zudem Änderungen an den Cache-Inhalten des Webbrowsers und des Proxy-Servers vornehmen sowie unter Umständen auf beliebige Daten auf dem OWA-Server zugreifen, der dem Opfer zugänglich ist.  SSL-verschlüsselte Verbindungen sind allerdings gegen das Cache-Spoofing immun, sofern im Internet Explorer des Clients die Option \"Verschlüsselte Seiten nicht auf der Festplatte speichern\" aktiviert wurde.

Als mögliche Problemumgehung nennt Microsoft das Deaktivieren oder komplette Entfernen von Outlook Web Access. Beide Work-arounds sind allerdings nicht wirklich praktikabel, da sie den Zugriff von Clients via OWA völlig unterbinden. Daher empfiehlt sich ein umgehendes Einspielen des zur Verfügung gestellten Patches.

Für eine erfolgreiche Installation des Updates muss auf dem OWA-Server folgendes installiert sein:

    [/li]
  • Internet Explorer 5.01 SP3 (Windows 2000 SP3)
  • Internet Explorer 5.01 SP4 (Windows 2000 SP4)
  • Internet Explorer 6 SP1 (andere unterstützte Betriebssysteme)


MS04-026: Cross-Site Scripting in Exchange Server 5.5 Outlook Web Access

    [/li]
  • Datum  =  10.08.2004
  • Warnstufe = mittel
  • Betrifft  =  Exchange Server 5.5 Outlook Web Access
  • Auswirkung  =  Cross-Site Scripting, Cache Spoofing
  • Work-around  =  Deaktivieren Sie Outlook Web Access.
  • Updates  =  Sicherheitsupdate für Exchange 5.5 (KB842436)
  • CVE  =  CAN-2004-0203


Quelle: Tecchannel.de
Gespeichert