Dickes Loch in Exchange 2000 Server

08.06.2001
Administratoren des noch nicht sehr häufig verbreiteten "Exchange-2000-Servers" sollten schleunigst auf Microsofts Sicherheitsseite gehen, um ein Sicherheitsloch zu stopfen. Denn neugierigen Hacker ist es möglich, auf mittels eines E-Mail-Attachment auf Mailbox-Inhalte zuzugreifen und mitzulesen, was dort so geschrieben steht. Ein Löschen der Mails sei Unbefugten ebenfalls möglich. Wie Microsoft mitteilt, müssen Administratoren den bei der Exchange-Installation standardmäßig aktivierten Dienst "Outlook Web Access" abschalten, damit der ungebetene Zugang unterbleibt. Den "Web-Access-Service" benutzen Exchange-Benutzer dazu, um ihre elektronischen Briefkästen über das Internet zu verwalten. Die Lücke kommt dadurch zustande, dass die "Web-Access"-Funktion und der Web-Browser »Internet Explorer« zusammenarbeiten. Dabei werden die Skripts eines Mail-Anhangs nicht vom Browser des Web-Benutzers bearbeitet, sondern vom Server, der den "Web-Access"-Dienst ausführt. Ein Softwareflicken ist verfügbar. (wl)

Administratoren des noch nicht sehr häufig verbreiteten "Exchange-2000-Servers" sollten schleunigst auf Microsofts Sicherheitsseite gehen, um ein Sicherheitsloch zu stopfen. Denn neugierigen Hacker ist es möglich, auf mittels eines E-Mail-Attachment auf Mailbox-Inhalte zuzugreifen und mitzulesen, was dort so geschrieben steht. Ein Löschen der Mails sei Unbefugten ebenfalls möglich. Wie Microsoft mitteilt, müssen Administratoren den bei der Exchange-Installation standardmäßig aktivierten Dienst "Outlook Web Access" abschalten, damit der ungebetene Zugang unterbleibt. Den "Web-Access-Service" benutzen Exchange-Benutzer dazu, um ihre elektronischen Briefkästen über das Internet zu verwalten. Die Lücke kommt dadurch zustande, dass die "Web-Access"-Funktion und der Web-Browser »Internet Explorer« zusammenarbeiten. Dabei werden die Skripts eines Mail-Anhangs nicht vom Browser des Web-Benutzers bearbeitet, sondern vom Server, der den "Web-Access"-Dienst ausführt. Ein Softwareflicken ist verfügbar. (wl)

Zur Startseite