MSI Endanwender-Forum

News und Sonderforen => Foruminformationen => Thema gestartet von: Xela am 11. August 2004, 15:40:14

Titel: Patch Day August 2004: Patch nach den Patches
Beitrag von: Xela am 11. August 2004, 15:40:14
Die besonders dringenden Updates für MSIE und Windows XP hat Microsoft vorgezogen. Außerdem ist noch eine mittelschwere Lücke im Outlook-Web-Access-Dienst des Exchange Server 5.5 zu stopfen.

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste kritischer Bugs samt zugehörigen Fixes. Durch diesen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

In diesem Monat hat das allerdings offensichtlich nicht so recht geklappt. Bereits am 30. Juli musste Microsoft ein kumulatives Patch-Paket für den Internet Explorer vorausschieben, dessen zu diesem Zeitpunkt haarsträubende Sicherheitslücken bereits ein deutliches Abwandern der Benutzer zu Browser-Alternativen verursacht hatten. Auch das lange erwartete und mehrfach verschobene Service Pack 2 für Windows XP konnte man in Redmond scheinbar nicht mehr bis zum regulären Patch-Day-Termin am 10. August aussitzen und veröffentlichte es bereits am Vortag.

Damit beschränken sich die von Microsoft als gefährlich erachteten Schwachstellen diesen Monat auf eine mittelschwere Lücke in der Outlook-Web-Access-Komponente des Exchange Server 5.5. Über Outlook Web Access (OWA) können Benutzer via Webbrowser auf ihr Exchange-Postfach zugreifen. Ein Exchange-Server mit OWA kann auch als Website fungieren, auf der die Benutzer E-Mails lesen oder verfassen und ihre Kalender verwalten.

Ursache des Problems ist ein Fehler bei der Überprüfung von HTML-Umleitungsanfragen. Dies kann der Angreifer mittels einer speziell präparierten E-Mail-Nachricht ausnutzen, um beliebigen HTML- und Script-Code im Sicherheitskontext des attackierten Benutzers auszuführen. Dazu muss er das Opfer allerdings dazu verleiten, einen Link in der Nachricht anzuklicken.

Über eine erfolgreiche Attacke kann der Angreifer zudem Änderungen an den Cache-Inhalten des Webbrowsers und des Proxy-Servers vornehmen sowie unter Umständen auf beliebige Daten auf dem OWA-Server zugreifen, der dem Opfer zugänglich ist.  SSL-verschlüsselte Verbindungen sind allerdings gegen das Cache-Spoofing immun, sofern im Internet Explorer des Clients die Option \"Verschlüsselte Seiten nicht auf der Festplatte speichern\" aktiviert wurde.

Als mögliche Problemumgehung nennt Microsoft das Deaktivieren oder komplette Entfernen von Outlook Web Access. Beide Work-arounds sind allerdings nicht wirklich praktikabel, da sie den Zugriff von Clients via OWA völlig unterbinden. Daher empfiehlt sich ein umgehendes Einspielen des zur Verfügung gestellten Patches.

Für eine erfolgreiche Installation des Updates muss auf dem OWA-Server folgendes installiert sein:



MS04-026: Cross-Site Scripting in Exchange Server 5.5 Outlook Web Access



Quelle: Tecchannel.de