CVE編號 | CVE-2015-0005 |
---|---|
影響產品 | 對於所有受支援版本的 Microsoft Exchange Server 2013,此資訊安全更新的等級為「重要」。 |
解決辦法 | 請連上Microsoft 資訊連結,參考【因應措施】儘速進行安全性修正。 |
張貼日 | 2015-03-11 |
上稿單位 | TWCERT/CC |
此安全性更新可解決 Microsoft Exchange Server 中的資訊安全風險。如果使用者點選會將使用者帶到目標 Outlook Web App 網站之蓄意製作的 URL,則最嚴重的資訊安全風險可能會允許權限提高。攻擊者並不能強迫使用者造訪蓄意製作的網站,而是引誘使用者自行前往。一般的做法是設法讓使用者點選即時訊息或電子郵件訊息中連往攻擊者網站的連結,然後引誘他們點選蓄意製作的 URL。此安全性更新可修正 Exchange Server 清理 Outlook Web App 中頁面內容的方式,及修正 Exchange 在 Exchange 行事曆中接受、排程或修改會議要求時驗證會議召集人身分的方式,進而解決這些資訊安全風險。