Microsoft está modificando el parche que sacó el pasado día 4 del
presente mes y que teóricamente corregía la mencionada vulnerabilidad.
Esta actualización tendría que evitar la vulnerabilidad que permitía
la ejecución de un script adjunto a un mensaje y al que Outlook Web
Access, permitía su ejecución.
Un atacante malintencionado podía valerse de esta vulnerabilidad para
realizar un script, con el cual poder hacerse dueño del buzón de
Microsoft Exchange Server 2000, con la posibilidad de borrar,
modificar o añadir datos del buzón atacado.
OWA (Outlook Web Access) es un servicio integrado en Exchange 2000
para facilitar el acceso al buzón de un usuario desde un navegador.
Si intentamos bajarnos el parche correspondiente, Microsoft nos
informa que “Debido a un problema que ha sido descubierto en este
hotfix, los binarios han sido quitados. Una versión puesta al día será
puesta para su descarga, el 11 junio lo más tardar”.
Según fuentes de Microsoft el parche corregido podrá ser obtenido el
próximo día 11 del presente mes, en la dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30436
roman@hispasec.com
Más información:
Incorrect Attachment Handling in Exchange 2000 OWA Can Execute Script
http://www.microsoft.com/technet/security/bulletin/MS01-030.asp
Incorrect Attachment Handling in Exchange 2000 OWA Can Execute Script
http://www.securityfocus.com/archive/1/189209
Deja un comentario