Sistemas Afectados

1. Descripción

   • Vulnerabilidad en Microsoft Exchange Server cuando está ejecutando Outlook Web Access - CVE-2006-1193

   Existe una vulnerabilidad de inserción de secuencia de comandos en Exchange Server ejecutando Outlook Web Access (OWA). El problema se debe a la manera incorrecta en como OWA filtra la secuencia de comandos bajo ciertas circunstancias dentro un mensaje de correo electrónico. Si ésta secuencia de comandos maliciosa es ejecutada, podría ejecutarse en el contexto de seguridad del usuario. Los intentos por explotar esta vulnerabilidad requieren la interacción del usuario.

2. Impacto

   Un intruso que explote satisfactoriamente la vulnerabilidad podría realizar ataques de inyección de secuencia de comandos (scripts).

3. Solución

   Aplicar una actualización:

   • Exchange 2000 Server Service Pack 3 con el August 2004 Exchange 2000 Server Post-Service Pack 3 Update Rollup – Descargar la actualización
   • Microsoft Exchange Server 2003 Service Pack 1 – Descargar la actualización
   • Microsoft Exchange Server 2003 Service Pack 2 – Descargar la actualización

4. Apéndice

   • Boletín de Seguridad de Microsoft MS06-29 - http://www.microsoft.com/technet/security/bulletin/MS06-029.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Juan Lopez Morales (jlopez at seguridad dot unam dot mx)
• Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)