L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Cross Site Scripting et Spoofing avec OWA

Synthèse de la vulnérabilité 

Un attaquant peut faire exécuter un script et usurper des pages web avec Outlook Web Access.
Logiciels vulnérables : Exchange.
Gravité de cette annonce : 2/4.
Date de création : 11/08/2004.
Date de révision : 12/08/2004.
Références de cette vulnérabilité informatique : BID-10902, CVE-2004-0203, MS04-026, V6-EXCHANGE55OWASPOXSS, VIGILANCE-VUL-4327, VU#948750.

Description de la vulnérabilité 

Le serveur Exchange dispose de Outlook Web Access afin que les utilisateurs consultent leur messagerie à l'aide d'un navigateur.

La partie OWA est sensible à la technique d'attaque décrite dans le bulletin VIGILANCE-VUL-4047. Les données provenant de l'attaquant fournies à une redirection ne sont pas filtrées. La page HTML générée par OWA contient alors ces données. Cette vulnérabilité a deux conséquences.

Un attaquant peut créer un email contenant un lien. Si l'utilisateur accepte de cliquer ce lien, une attaque de type Cross Site Scripting conduit à l'exécution de script.

Un attaquant disposant d'un compte d'accès à OWA peut lui faire retourner une page HTML usurpée. Dans ce cas, cette page sera gardée dans le cache du navigateur, et éventuellement dans les caches des proxies traversés.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille cybersécurité concerne les logiciels ou systèmes comme Exchange.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce cyber-sécurité.

Solutions pour cette menace 

Solution pour Cross Site Scripting et Spoofing avec OWA.
Une mise à jour est disponible :
  http://www.microsoft.com/downloads/details.aspx?FamilyId=66E4E033-5A4C-4EEC-84F1-31F0CA878092&displaylang=en
Avant de l'appliquer, il faut sauvegarder les pages ASP personnalisées, car celles-ci seront écrasées.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des alertes de sécurité informatique. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.