Icono del sitio Una al Día

Tercera revisión de un parche de Microsoft

Hispasec

Microsoft publica, por tercera vez, un parche para cubrir una serie de
problemas en Microsoft Exchange en el servicio Outlook Web Access.
El primer parche se presentó como una actualización para Exchange 2000
para cubrir una vulnerabilidad en el servicio Outlook Web Access pensado
para permitir a los usuarios el acceso a su buzón de correo desde un
navegador web. El problema residía en la posibilidad de que un usuario
malicioso enviara un script adjunto en el mensaje, de forma que al
visualizarse a través del navegador podría llegar a ejecutarse.

Cuando un usuario recibe un archivo adjunto con Outlook Web Access al
abrirlo el sistema preguntará donde guardar el archivo o si lo abre,
pero el problema hace que el script se ejecute automáticamente sin
consultar a través de Internet Explorer.

En principio según informaba Microsoft en un primer boletín esta
vulnerabilidad sólo se presentaba en Exchange 2000, pero en una segunda
revisión confirmó que el problema también se reproducía en Exchange 5.5.
Además informó de la existencia de un problema de regresión, es decir
que el primer parche creaba nuevos problemas de rendimiento en los
servidores sobre los que se instaló. Por este motivo Microsoft publicó
un segundo parche recomendando a todos los administradores su
instalación, incluidos aquellos que instalaron el primero.

Pero ahora, por tercera vez Microsoft corrige la anterior publicación ya
que informa que ha descubierto que el parche para Exchange 2000 contenía
archivos obsoletos, por lo que proporciona una tercera versión del
parche para Exchange 2000. Extiende la recomendación de instalación de
este parche a todos aquellos que descargaron esta actualización con
fecha anterior al 12 de junio de 2001.

Los parches pueden descargarse de las siguientes direcciones:
Para Microsoft Exchange Server 5.5:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30568

Para Microsoft Exchange 2000 Server:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30569

Antonio Ropero
antonior@hispasec.com

Más información:

Boletín de seguridad Microsoft (MS01-030):

http://www.microsoft.com/technet/security/bulletin/MS01-030.asp

una-al-dia (08/06/2001) Problemas en la actualización para Microsoft
Exchange Server 2000 OWA:

http://www.hispasec.com/unaaldia.asp?id=956

Acerca de Hispasec

Hispasec Ha escrito 7038 publicaciones.

Salir de la versión móvil