Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma pública en Microsoft Exchange Server. Las vulnerabilidades se encuentran las características Presentación de documentos WebReady y Prevención de la pérdida de datos de Microsoft Exchange Server. Las vulnerabilidades podrían permitir la ejecución remota de código en el contexto de seguridad del servicio de transcodificación en el servidor Exchange si un usuario obtiene una vista previa de un archivo especialmente diseñado mediante Outlook Web App (OWA). El servicio de transcodificación de Exchange que se usa para Presentación de documentos WebReady usa las credenciales de la cuenta LocalService. La característica Prevención de la pérdida de datos hospeda el código que permitiría la ejecución remota de código en el contexto de seguridad del servicio de administración de filtrado si Exchange Server recibe un mensaje especialmente diseñado. El servicio de administración de filtrado en Exchange usa las credenciales de la cuenta LocalService. La cuenta LocalService tiene privilegios mínimos en el sistema local y presenta credenciales anónimas en la red.
Microsoft Windows Windows | Microsoft Exchange Server 2007 Service Pack 3 | < | 2873746 |
Microsoft Windows Windows | Microsoft Exchange Server 2010 Service Pack 2 | < | 2873746 |
Microsoft Windows Windows | Microsoft Exchange Server 2010 Service Pack 3 | < | 2873746 |
Microsoft Windows Windows | Microsoft Exchange Server 2013 Cumulative Update 1 | < | 2873746 |
Microsoft Windows Windows | Microsoft Exchange Server 2013 Cumulative Update 2 | < | 2873746 |
El código de explotabilidad podría ser díficil de construir.
Múltiples
Ejecución remota de código.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT