Bollettino sulla sicurezza
Microsoft Security Bulletin MS13-105 - Critico
Le vulnerabilità in Microsoft Exchange Server potrebbero consentire l'esecuzione di codice remoto (2915705)
Pubblicato: 10 dicembre 2013 | Aggiornamento: 10 dicembre 2013
Versione: 1.1
Questo aggiornamento della sicurezza risolve tre vulnerabilità divulgate pubblicamente e una vulnerabilità segnalata privatamente in Microsoft Exchange Server. Le vulnerabilità più gravi esistono nelle funzionalità WebReady Document Viewing and Data Loss Prevention di Microsoft Exchange Server. Queste vulnerabilità potrebbero consentire l'esecuzione di codice remoto nel contesto di sicurezza dell'account LocalService se un utente malintenzionato invia un messaggio di posta elettronica contenente un file appositamente creato a un utente in un server exchange interessato. L'account LocalService ha privilegi minimi nel sistema locale e presenta credenziali anonime nella rete.
Questo aggiornamento della sicurezza è valutato Critical per tutte le edizioni supportate di Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 e Microsoft Exchange Server 2013. Per altre informazioni, vedere la sottosezione, Affected e Non-Affected Software, in questa sezione.
L'aggiornamento della sicurezza risolve le vulnerabilità aggiornando le librerie Oracle Outside In interessate a una versione non vulnerabile, abilitando il controllo dell'autenticazione del computer (MAC) in base alle procedure consigliate e assicurandosi che gli URL siano correttamente sanificati. Per altre informazioni sulle vulnerabilità, vedere la sottosezione Domande frequenti per la voce relativa alle vulnerabilità specifiche nella sezione successiva Informazioni sulla vulnerabilità.
Elemento consigliato. I clienti possono configurare l'aggiornamento automatico per verificare la disponibilità di aggiornamenti online da Microsoft Update tramite il servizio Microsoft Update . I clienti che hanno abilitato l'aggiornamento automatico e configurato per verificare la disponibilità di aggiornamenti online da Microsoft Update in genere non dovranno eseguire alcuna azione perché questo aggiornamento della sicurezza verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti da Microsoft Update e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico nelle edizioni supportate di Windows XP e Windows Server 2003, vedere l'articolo della Microsoft Knowledge Base 294871. Per informazioni sull'aggiornamento automatico nelle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, vedere Informazioni sull'aggiornamento automatico di Windows.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente questo aggiornamento della sicurezza, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update .
Vedere anche la sezione Strumenti di rilevamento e distribuzione e indicazioni, più avanti in questo bollettino.
Problemi noti. None
| Articolo della Knowledge Base | 2915705 |
|---|---|
| Informazioni sui file | Sì |
| Hash SHA1/SHA2 | Sì |
| Problemi noti | Sì |
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Software interessato
| Software | Impatto massimo sulla sicurezza | Valutazione della gravità aggregata | Aggiornamenti sostituito |
|---|---|---|---|
| Microsoft Server Software | |||
| Microsoft Exchange Server 2007 Service Pack 3 (2903911) | Esecuzione di codice remoto | Critico | 2873746 in MS13-061 |
| Microsoft Exchange Server 2010 Service Pack 2 (2903903) | Esecuzione di codice remoto | Critico | 2874216 in MS13-061 |
| Microsoft Exchange Server 2010 Service Pack 3 (2905616) | Esecuzione di codice remoto | Critico | 2866475 in MS13-061 |
| Microsoft Exchange Server 2013 Cumulative Update 2 (2880833) | Esecuzione di codice remoto | Critico | 2866475 in MS13-061 |
| Aggiornamento cumulativo 3 di Microsoft Exchange Server 2013 (2880833) | Esecuzione di codice remoto | Critico | None |
Software non interessato
| Microsoft Server Software |
|---|
| Microsoft Exchange Server 2003 Service Pack 2 |
Cosa accade se un aggiornamento della sicurezza o qualsiasi altra patch di aggiornamento provvisorio viene disinstallato?
La rimozione di qualsiasi aggiornamento della sicurezza o patch di aggiornamento provvisorio nell'aggiornamento cumulativo di Exchange Server 2013 causerà l'esito negativo del servizio di indicizzazione del contenuto. Per ripristinare la funzionalità completa, sarà necessario seguire i passaggi descritti nell'articolo della Knowledge Base 2879739 Queste istruzioni non si applicano all'aggiornamento cumulativo 3 o versione successiva.
Gli avvisi di Aggiornamento patch critico Oracle illustrano più vulnerabilità.The Oracle Critical Patch Update advisoriesdiscus multiple vulnerabilities. Quali vulnerabilità risolve questo aggiornamento?
Questo aggiornamento risolve due vulnerabilità: CVE-2013-5763 e CVE-2013-5791, come descritto in Oracle Critical Patch Update Advisory - Ottobre 2013.
Questo aggiornamento contiene modifiche non correlate alla sicurezza apportate alle funzionalità?
No, Exchange Server 2013 Security Aggiornamenti contiene solo correzioni per i problemi identificati nel bollettino sulla sicurezza.
Gli aggiornamenti cumulativi per Exchange Server 2007 ed Exchange Server 2010 possono contenere nuove correzioni aggiuntive, ma non per questa versione specifica.
Gli aggiornamenti cumulativi che risondono i problemi di questo bollettino contengono solo correzioni di sicurezza rilasciate dopo il rollup dell'aggiornamento precedente per ogni prodotto reso disponibile. Gli aggiornamenti cumulativi di Exchange Server 2007 ed Exchange Server 2010 sono cumulativi; pertanto il pacchetto conterrà tutte le correzioni di sicurezza e non di sicurezza rilasciate in precedenza contenute nei rollup precedenti. I clienti che non sono rimasti aggiornati nella distribuzione degli aggiornamenti cumulativi potrebbero sperimentare nuove funzionalità dopo l'applicazione di questo aggiornamento.
Due delle vulnerabilitàare vulnerabilità nel codice di terze parti, Oracle Outside In libraries. Perché Microsoft esegue un aggiornamento della sicurezza?
Microsoft concede in licenza un'implementazione personalizzata delle librerie Oracle Outside In, specifiche del prodotto in cui viene usato il codice di terze parti. Microsoft sta eseguendo questo aggiornamento della sicurezza per garantire che tutti i clienti che usano questo codice di terze parti in Microsoft Exchange siano protetti da queste vulnerabilità.
Uso una versione precedente del software discussa in questo bollettino sulla sicurezza. Cosa devo fare?
Il software interessato elencato in questo bollettino è stato testato per determinare quali versioni sono interessate. Altre versioni hanno superato il ciclo di vita del supporto. Per altre informazioni sul ciclo di vita del prodotto, vedere il sito Web supporto tecnico Microsoft Lifecycle.For more information about the product lifecycle, see the supporto tecnico Microsoft Lifecycle website.
Deve essere una priorità per i clienti che dispongono di versioni precedenti del software per eseguire la migrazione alle versioni supportate per evitare potenziali esposizione alle vulnerabilità. Per determinare il ciclo di vita del supporto per la versione software, vedere Selezionare un prodotto per informazioni sul ciclo di vita. Per altre informazioni sui Service Pack per queste versioni software, vedere Service Pack Lifecycle Support Policy.
I clienti che richiedono supporto personalizzato per il software precedente devono contattare il rappresentante del team dell'account Microsoft, il responsabile dell'account tecnico o il rappresentante partner Microsoft appropriato per le opzioni di supporto personalizzate. I clienti senza contratto Alliance, Premier o Authorized possono contattare l'ufficio vendite Microsoft locale. Per informazioni di contatto, vedere il sito Web Microsoft Worldwide Information , selezionare il paese nell'elenco Informazioni di contatto e quindi fare clic su Vai per visualizzare un elenco di numeri di telefono. Quando chiami, chiedi di parlare con il responsabile vendite premier support locale. Per altre informazioni, vedere domande frequenti sui criteri relativi al ciclo di vita di supporto tecnico Microsoft.
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di dicembre. Per altre informazioni, vedere Microsoft Exploitability Index.
| Software interessato | Oracle all'esterno di contiene più vulnerabilità sfruttabili:\ CVE-2013-5763 | Oracle esterno in contiene più vulnerabilità sfruttabili:\ CVE-2013-5791 | Vulnerabilità mac disabilitata - CVE-2013-1330 | Vulnerabilità XSS OWA - CVE-2013-5072 | Valutazione della gravità aggregata |
|---|---|---|---|---|---|
| Microsoft Exchange Server 2007 Service Pack 3 \ (2903911) | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Non applicabile | Critico |
| Microsoft Exchange Server 2010 Service Pack 2 \ (2903903) | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Importante \ Elevazione dei privilegi | Critico |
| Microsoft Exchange Server 2010 Service Pack 3 \ (2905616) | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Importante \ Elevazione dei privilegi | Critico |
| Aggiornamento cumulativo di Microsoft Exchange Server 2013 2 \ (2880833) | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Importante \ Elevazione dei privilegi | Critico |
| Aggiornamento cumulativo di Microsoft Exchange Server 2013 3 \ (2880833) | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Critico \ Esecuzione di codice remoto | Importante \ Elevazione dei privilegi | Critico |
Due delle vulnerabilità risolte in questo bollettino, CVE-2013-5763 e CVE-2013-5791, esistono in Exchange Server 2007, Exchange Server 2010 ed Exchange Server 2013 tramite la funzionalità Visualizzazione documenti WebReady. Le vulnerabilità potrebbero consentire l'esecuzione di codice remoto come account LocalService se un utente visualizza un file appositamente creato tramite Outlook Web Access in un browser. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice nel server Exchange interessato, ma solo come account LocalService. L'account LocalService ha privilegi minimi nel computer locale e presenta credenziali anonime nella rete.
Inoltre, CVE-2013-5763 e CVE-2013-5791 esistono in Exchange Server 2013 tramite la funzionalità protezione dalla perdita dei dati (DLP). Questa vulnerabilità potrebbe causare la mancata risposta dell'istanza di Exchange Server interessata se un utente invia o riceve un file appositamente creato.
Per visualizzare queste vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2013-5763 e CVE-2013-5791.
La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:
- Il servizio di transcodifica in Exchange utilizzato per la visualizzazione documenti WebReady è in esecuzione nell'account LocalService. L'account LocalService ha privilegi minimi nel computer locale e presenta credenziali anonime nella rete.
- Il servizio Gestione filtri in Exchange utilizzato per la prevenzione della perdita dei dati è in esecuzione nell'account LocalService. L'account LocalService ha privilegi minimi nel sistema locale e presenta credenziali anonime nella rete.
La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:
Disabilitare la prevenzione della perdita dei dati (solo Exchange Server 2013)
Accedere a Exchange Management Shell come exchange Organization Amministrazione istrator.
Eseguire uno dei comandi di PowerShell seguenti a seconda della versione di Exchange Server 2013 installata:
Per Exchange Server 2013 Aggiornamento cumulativo 2 o aggiornamento cumulativo 3:
Add-PSSnapin Microsoft.Forefront.Filtering.Management.PowerShell Set-TextExtractionScanSettings -EnableModules AdeModule.dll, FilterModule.dll, TextConversionModule.dll
Impatto della soluzione alternativa. I criteri di prevenzione della perdita dei dati che dipendono dalle librerie Outside In non funzioneranno. Lo script fornito per il Aggiornamenti cumulativo causerà il riavvio dei servizi di gestione trasporto e filtro.
Ricerca per categorie annullare la soluzione alternativa?
Accedere a Exchange Management Shell come exchange Organization Amministrazione istrator.
Eseguire uno dei comandi di PowerShell seguenti, a seconda della versione di Exchange Server 2013 installata:
Per Exchange Server 2013 Aggiornamento cumulativo 2 o aggiornamento cumulativo 3:
Add-PSSnapin Microsoft.Forefront.Filtering.Management.PowerShell Set-TextExtractionScanSettings -EnableModules AdeModule.dll, FilterModule.dll, TextConversionModule.dll OutsideInModule.dll
Disabilitare la visualizzazione documento WebReady (Exchange Server 2007, Exchange Server 2010 ed Exchange Server 2013)
Accedere a Exchange Management Shell come exchange Organization Amministrazione istrator.
Eseguire il comando di PowerShell seguente:
Get-OwaVirtualDirectory | where {$_.OwaVersion -eq 'Exchange2007' -or $_.OwaVersion -eq 'Exchange2010' -or $_.OwaVersion -eq 'Exchange2013'} | Set-OwaVirtualDirectory - WebReadyDocumentViewingOnPublicComputersEnabled:$False - WebReadyDocumentViewingOnPrivateComputersEnabled:$False
Impatto della soluzione alternativa. Gli utenti OWA potrebbero non essere in grado di visualizzare in anteprima il contenuto degli allegati di posta elettronica.
Ricerca per categorie annullare la soluzione alternativa?
Accedere a Exchange Management Shell come exchange Organization Amministrazione istrator.
Eseguire il comando di PowerShell seguente:
Get-OwaVirtualDirectory | where {$_.OwaVersion -eq 'Exchange2007' -or $_.OwaVersion -eq 'Exchange2010' -or $_.OwaVersion -eq 'Exchange2013'} | Set-OwaVirtualDirectory - WebReadyDocumentViewingOnPublicComputersEnabled:$True - WebReadyDocumentViewingOnPrivateComputersEnabled:$TrueNota I passaggi precedenti presuppongono che Exchange Amministrazione istrator avesse precedentemente consentito la visualizzazione di documenti WebReady sia su accessi pubblici che privati a OWA. Il valore $True o $False appropriato deve essere usato per impostare il comportamento desiderato in base all'accesso utente.
Qual è l'ambito delle vulnerabilità?
Si tratta di vulnerabilità di esecuzione del codice remoto.
Quali sono le cause delle vulnerabilità?
Le vulnerabilità vengono causate quando viene usata una versione vulnerabile delle librerie Oracle Outside In per analizzare file appositamente creati.
Che cosa sono le librerie Oracle Outside In?
In Exchange Server 2007, Exchange Server 2010 ed Exchange Server 2013, gli utenti di Outlook Web App (OWA) vengono forniti con una funzionalità denominata Visualizzazione documenti WebReady che consente agli utenti di visualizzare determinati allegati come pagine Web anziché basarsi su applicazioni locali per aprirle o visualizzarle. Le librerie Oracle Outside In vengono usate dal processo di conversione nel back-end del server per supportare la funzionalità WebReady. Microsoft concede in licenza queste librerie da Oracle.
In Exchange Server 2013, Exchange Data Loss Prevention (DLP) sfrutta le librerie Oracle Outside In come parte delle funzionalità di analisi dei file.
Che cos'è la visualizzazione di documenti WebReady?
La funzionalità Visualizzazione documenti WebReady consente agli utenti di visualizzare determinati allegati come pagina Web. Exchange Server 2007, Exchange Server 2010 ed Exchange Server 2013 eseguono la conversione, quindi l'utente non ha bisogno di altro che di un Web browser per visualizzare gli allegati.
Che cos'è La prevenzione della perdita dei dati (DLP)?
Prevenzione della perdita dei dati (DLP) è una funzionalità di Exchange 2013 che consente ai clienti di identificare, monitorare e proteggere i dati sensibili tramite analisi approfondite dei contenuti.
Cosa può fare un utente malintenzionato che usa queste vulnerabilità?
In Exchange Server 2007, Exchange Server 2010 ed Exchange Server 2013, un utente malintenzionato che ha sfruttato correttamente queste vulnerabilità potrebbe eseguire codice arbitrario nel contesto di sicurezza del servizio di transcodifica in Exchange utilizzato dalla funzionalità Visualizzazione documenti WebReady.
In Exchange Server 2013, un utente malintenzionato che ha sfruttato correttamente queste vulnerabilità potrebbe eseguire codice arbitrario nel contesto di sicurezza del servizio Gestione filtri in Exchange utilizzato dalla funzionalità Prevenzione della perdita dei dati.
Sia il servizio di transcodifica usato dalla funzionalità Visualizzazione documenti WebReady che dal servizio gestione filtri usato dalla funzionalità Prevenzione perdita dati vengono eseguiti come account LocalService. L'account LocalService ha privilegi minimi nel computer locale e presenta credenziali anonime nella rete.
In che modo un utente malintenzionato potrebbe sfruttare queste vulnerabilità?
Un utente malintenzionato potrebbe inviare un messaggio di posta elettronica contenente un file appositamente creato a un utente in un server exchange interessato.
In Exchange Server 2007, Exchange Server 2010 ed Exchange Server 2013, le vulnerabilità potrebbero essere sfruttate tramite la funzionalità Visualizzazione documenti WebReady se un utente visualizza in anteprima un messaggio di posta elettronica contenente un file appositamente creato con Outlook Web App (OWA).
In Exchange Server 2013, le vulnerabilità potrebbero essere sfruttate tramite la funzionalità prevenzione della perdita dei dati se un messaggio di posta elettronica contenente un file appositamente creato viene ricevuto dal server Exchange.
Quali sistemi sono principalmente a rischio dalle vulnerabilità?
I sistemi che eseguono versioni interessate di Exchange Server sono principalmente a rischio da queste vulnerabilità.
Cosa fa l'aggiornamento?
L'aggiornamento risolve le vulnerabilità aggiornando le librerie Oracle Outside In interessate a una versione non vulnerabile.
Quando è stato pubblicato questo bollettino sulla sicurezza, queste vulnerabilità sono state divulgate pubblicamente?
Sì. Queste vulnerabilità sono state divulgate pubblicamente. Sono stati assegnati i seguenti numeri di vulnerabilità ed esposizione comuni:
Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che queste vulnerabilità sono state sfruttate?
No. Microsoft non ha ricevuto informazioni per indicare che queste vulnerabilità erano state usate pubblicamente per attaccare i clienti quando questo bollettino sulla sicurezza è stato originariamente pubblicato.
Esiste una vulnerabilità di esecuzione remota del codice in Microsoft Exchange Server. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto del servizio Outlook Web Access (OWA), che viene eseguito con l'account di sistema locale per impostazione predefinita.
Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2013-1330.
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di esecuzione remota del codice.
Che cosa causa la vulnerabilità?
Questa vulnerabilità è causata quando Exchange Server non convalida correttamente l'input.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto del servizio Outlook Web Access (OWA), che viene eseguito con l'account di sistema locale per impostazione predefinita.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
In uno scenario di attacco, l'utente malintenzionato potrebbe inviare contenuto appositamente creato al server di destinazione.
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
Qualsiasi sistema che esegue una versione interessata di Exchange Server che esegue Outlook Web Access è interessato da questa vulnerabilità.
Cosa fa l'aggiornamento?
L'aggiornamento risolve la vulnerabilità abilitando il controllo di autenticazione del computer (MAC) in base alle procedure consigliate.
Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
Sì. Questa vulnerabilità è stata divulgata pubblicamente. È stato assegnato il numero di vulnerabilità ed esposizione comuni CVE-2013-1330.
Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata?
No. Microsoft non ha ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti quando questo bollettino sulla sicurezza è stato originariamente rilasciato.
Esiste una vulnerabilità di elevazione dei privilegi in Microsoft Exchange Server. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire script nel contesto dell'utente corrente.
Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2013-5072.
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di elevazione dei privilegi.
Che cosa causa la vulnerabilità?
Questa vulnerabilità è causata quando Exchange Server non convalida correttamente l'input.
Che cos'è lo scripting tra siti?
Lo scripting tra siti (XSS) è una classe di vulnerabilità di sicurezza che può consentire a un utente malintenzionato di inserire codice script nella sessione di un utente con un sito Web. La vulnerabilità può influire sui server Web che generano dinamicamente pagine HTML. Se questi server incorporano l'input del browser nelle pagine dinamiche che inviano al browser, questi server possono essere modificati per includere contenuto fornito in modo dannoso nelle pagine dinamiche. Ciò può consentire l'esecuzione di script dannosi. I Web browser possono perpetuare questo problema attraverso i loro presupposti di siti attendibili e il loro uso di cookie per mantenere lo stato persistente con i siti Web che frequenti. Un attacco XSS non modifica il contenuto del sito Web. Inserisce invece nuovi script dannosi che possono essere eseguiti nel browser nel contesto associato a un server attendibile.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe leggere il contenuto che l'utente malintenzionato non è autorizzato a leggere, usare l'identità della vittima per intraprendere azioni sul sito di Outlook Web Access per conto della vittima, ad esempio modificare le autorizzazioni ed eliminare il contenuto e inserire contenuto dannoso nel browser della vittima.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
Affinché questa vulnerabilità venga sfruttata, un utente deve fare clic su un URL appositamente creato che porta l'utente a un sito di Outlook Web Access di destinazione.
In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando un messaggio di posta elettronica contenente l'URL appositamente creato all'utente del sito di Outlook Web Access di destinazione e convincendo l'utente a fare clic sull'URL appositamente creato.
In uno scenario di attacco basato sul Web, un utente malintenzionato dovrà ospitare un sito Web contenente un URL appositamente creato per il sito di Outlook Web Access di destinazione usato per tentare di sfruttare questa vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero sfruttare questa vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare un sito Web appositamente creato. Un utente malintenzionato dovrà invece convincerli a visitare il sito Web, in genere facendogli clic su un collegamento in un messaggio di posta elettronica o un messaggio di Instant Messenger che li porta al sito Web dell'utente malintenzionato e quindi convincerli a fare clic sull'URL appositamente creato.
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
Qualsiasi sistema utilizzato per accedere a una versione interessata di Outlook Web Access potrebbe essere potenzialmente a rischio di attacco.
Cosa fa l'aggiornamento?
L'aggiornamento risolve la vulnerabilità assicurandosi che gli URL siano correttamente sanificati.
Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità.
Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata?
No. Microsoft non ha ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti quando questo bollettino sulla sicurezza è stato originariamente rilasciato.
Sono disponibili diverse risorse per aiutare gli amministratori a distribuire gli aggiornamenti della sicurezza.
- Microsoft Baseline Security Analyzer (MBSA) consente agli amministratori di analizzare i sistemi locali e remoti per individuare gli aggiornamenti della sicurezza mancanti e le configurazioni comuni della sicurezza.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) e System Center Configuration Manager consentono agli amministratori di distribuire gli aggiornamenti della sicurezza.
- I componenti dell'analizzatore di compatibilità degli aggiornamenti inclusi in Application Compatibility Toolkit semplificano il test e la convalida degli aggiornamenti di Windows nelle applicazioni installate.
Per informazioni su questi e altri strumenti disponibili, vedere Strumenti di sicurezza per professionisti IT.
Software interessato
Per informazioni sull'aggiornamento della sicurezza specifico per il software interessato, fare clic sul collegamento appropriato:
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Inclusione nei Service Pack futuri | L'aggiornamento per questo problema verrà incluso in un Service Pack futuro o un aggiornamento cumulativo |
|---|---|
| Nome file di aggiornamento della sicurezza | Per Microsoft Exchange Server 2007 Service Pack 3:\ Exchange2007-KB2903911-x64-EN.msp |
| Opzioni di installazione | Vedere l'articolo della Microsoft Knowledge Base 912203 |
| Requisito di riavvio | No, questo aggiornamento non richiede un riavvio. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento e quindi riavvia i servizi. Tuttavia, se i servizi necessari non possono essere arrestati per qualsiasi motivo o se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare.\ \ Per ridurre la probabilità che venga richiesto un riavvio, arrestare tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero usare i file interessati prima di installare l'aggiornamento della sicurezza. Per altre informazioni sui motivi per cui potrebbe essere richiesto di riavviare, vedere l'articolo della Microsoft Knowledge Base 887012. |
| Aggiornare il file di log | KB2903911.log |
| Informazioni sulla rimozione | Usare l'elemento Installazione applicazioni in Pannello di controllo. |
| Informazioni sui file | Vedere l'articolo della Microsoft Knowledge Base 2903911 |
| Verifica della chiave del Registro di sistema | Per Microsoft Exchange Server 2007 Service Pack 3:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Exchange 2007\SP2\KB2903911 |
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Inclusione nei Service Pack futuri | L'aggiornamento per questo problema verrà incluso in un Service Pack futuro o un aggiornamento cumulativo |
|---|---|
| Nome file di aggiornamento della sicurezza | Per Microsoft Exchange Server 2010 Service Pack 2:\ Exchange2010-KB2903903-x64-en.msp |
| Opzioni di installazione | Vedere l'articolo della Microsoft Knowledge Base 912203 |
| Requisito di riavvio | No, questo aggiornamento non richiede un riavvio. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento e quindi riavvia i servizi. Tuttavia, se i servizi necessari non possono essere arrestati per qualsiasi motivo o se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare.\ \ Per ridurre la probabilità che venga richiesto un riavvio, arrestare tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero usare i file interessati prima di installare l'aggiornamento della sicurezza. Per altre informazioni sui motivi per cui potrebbe essere richiesto di riavviare, vedere l'articolo della Microsoft Knowledge Base 887012. |
| Aggiornare il file di log | KB2903903.log |
| Informazioni sulla rimozione | Usare l'elemento Installazione applicazioni in Pannello di controllo. |
| Informazioni sui file | Vedere l'articolo della Microsoft Knowledge Base 2903903 |
| Verifica della chiavedel Registro di sistema | Per Microsoft Exchange Server 2010 Service Pack 2:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Exchange 2010\SP1\KB2903903 |
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Inclusione nei Service Pack futuri | L'aggiornamento per questo problema verrà incluso in un Service Pack futuro o un aggiornamento cumulativo |
|---|---|
| Nome file di aggiornamento della sicurezza | Per Microsoft Exchange Server 2010 Service Pack 3:\ Exchange2010-KB2905616-x64-en.msp |
| Opzioni di installazione | Vedere l'articolo della Microsoft Knowledge Base 912203 |
| Requisito di riavvio | No, questo aggiornamento non richiede un riavvio. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento e quindi riavvia i servizi. Tuttavia, se i servizi necessari non possono essere arrestati per qualsiasi motivo o se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare.\ \ Per ridurre la probabilità che venga richiesto un riavvio, arrestare tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero usare i file interessati prima di installare l'aggiornamento della sicurezza. Per altre informazioni sui motivi per cui potrebbe essere richiesto di riavviare, vedere l'articolo della Microsoft Knowledge Base 887012. |
| Aggiornare il file di log | KB2905616.log |
| Informazioni sulla rimozione | Usare l'elemento Installazione applicazioni in Pannello di controllo. |
| Informazioni sui file | Vedere l'articolo della Microsoft Knowledge Base 2905616 |
| Verifica della chiave del Registro di sistema | Per Microsoft Exchange Server 2010 Service Pack 3:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Exchange 2010\SP3\KB2905616 |
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Inclusione nei Service Pack futuri | L'aggiornamento per questo problema verrà incluso in un service pack futuro o in un aggiornamento cumulativo. |
|---|---|
| Nome file di aggiornamento della sicurezza | Per Microsoft Exchange Server 2013 Cumulative Update 2 e Microsoft Exchange Server 2013 Cumulative Update 3:\ Exchange2013-KB2880833-x64-en.msp |
| Opzioni di installazione | Vedere l'articolo della Microsoft Knowledge Base 912203 |
| Requisito di riavvio | No, questo aggiornamento non richiede un riavvio. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento e quindi riavvia i servizi. Tuttavia, se i servizi necessari non possono essere arrestati per qualsiasi motivo o se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare.\ \ Per ridurre la probabilità che venga richiesto un riavvio, arrestare tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero usare i file interessati prima di installare l'aggiornamento della sicurezza. Per altre informazioni sui motivi per cui potrebbe essere richiesto di riavviare, vedere l'articolo della Microsoft Knowledge Base 887012. |
| Aggiornare il file di log | KB2880833.log |
| Informazioni sulla rimozione | Usare l'elemento Installazione applicazioni in Pannello di controllo. |
| Informazioni sui file | Vedere l'articolo della Microsoft Knowledge Base 2880833 |
| Verifica della chiave del Registro di sistema | Per le edizioni supportate di Microsoft Exchange Server 2013:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Exchange 2013\SP1\KB2880833 |
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Minded Security, per conto di Criteo, per la segnalazione della vulnerabilità XSS OWA (CVE-2013-5072)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Come ottenere assistenza e supporto per questo aggiornamento della sicurezza
- Guida all'installazione degli aggiornamenti: supporto per Microsoft Update
- Soluzioni di sicurezza per professionisti IT: Risoluzione dei problemi e supporto per la sicurezza techNet
- Proteggere il computer che esegue Windows da virus e malware: Soluzione virus e Centro sicurezza
- Supporto locale in base al proprio paese: Supporto internazionale
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
- V1.0 (10 dicembre 2013): Bollettino pubblicato.
- V1.1 (10 dicembre 2013): aggiornamento della voce Problemi noti nella sezione Articolo della Knowledge Base da "Nessuno" a "Sì".
Costruito al 2014-04-18T13:49:36Z-07:00