CVE編號 | CVE-2014-6319 |
---|---|
影響產品 | 對於所有受支援版本的 Microsoft Exchange Server 2007、Microsoft Exchange Server 2010 和 Microsoft Exchange Server 2013,此資訊安全更新的等級為「重要」。 |
解決辦法 | 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。對於沒有啟用自動更新的客戶,可採取開啟或關閉自動更新中的步驟來啟用自動更新。 |
張貼日 | 2014-12-09 |
上稿單位 | TWCERT/CC |
這個資訊安全更新可解決 Microsoft Exchange Server 中四項未公開報告的資訊安全風險。如果使用者點選會將使用者帶到目標 Outlook Web App 網站之蓄意製作的 URL,則最嚴重的資訊安全風險可能會允許權限提高。攻擊者無法強迫使用者造訪蓄意製作的網站。而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息中或即時訊息中連往攻擊者網站的連結,然後引誘他們點選蓄意製作的 URL。
此資訊安全更新可確保 Outlook Web App 適當驗證要求語彙基元,及確保 URL 有正確清理,藉以解決這些資訊安全風險。