Microsoft advarer om kritisk fejl i Exchange

Fejl i Oracle-kode har udløst en kritisk fejl i Exchange Server 2007 og Exchange Server 2010.

Annonce:
Annonce:
Computerworld News Service: Microsoft advarede i sidste uge it-administratorer om, at kritiske sårbarheder i kode licenseret fra Oracle kan give hackere adgang til systemer, der anvender Exchange Server 2007 og Exchange Server 2010.

Oracle lukkede disse sikkerhedshuller i sine Oracle Outside In-biblioteker som del af en massiv opdatering 17. juli, der rettede næsten 90 fejl i selskabets databasesoftware.

Exchange samt Microsofts FAST Search Server 2010 til SharePoint bruger Oracle Outside In-bibliotekerne til at vise vedhæftede filer i browseren frem for at åbne den i et lokalt installeret program såsom Microsoft Word. Sårbarhederne befinder sig i den kode, der parser de vedhæftede filer.

"En angriber, som med succes har udnyttet disse sårbarheder, kan køre arbitrær kode under den proces, der foretager parsing af de særligt oprettede filer," advarer Microsoft i en sikkerhedsmeddelelse, der blev offentliggjort i sidste uge.
 
Ingen angreb endnu
Et succesfuldt angreb mod en Exchange-server kan gøre det muligt for hackere at "installere programmer; vise, ændre eller slette data; eller foretage sig hvad som helst andet som denne serverproces har adgang til at gøre."

Microsoft nedtonede dog risikoen ved andetsteds at fremhæve, at selskabet endnu ikke havde iagttaget nogen faktiske angreb.

Indtil sårbarheden lukkes med en sikkerhedsopdatering - Microsoft arbejder på sagen men har ikke oplyst nogen tidshorisont - anbefales det på selskabets Security Research & Defense-blog og i sikkerhedsmeddelelsen, at man som it-administrator midlertidigt slår de Exchange Server- og FAST Search Server-funktioner fra, som er afhængige af Oracle Outside In-biblioteker.

"Man er nødt til selv at evaluere risikoen og afgøre, om det er nødvendigt at implementere disse forholdsregler," råder Andrew Storms, der er director of security operations hos nCircle Security, i et interview i sidste uge. "I mellemtiden sidder sikkerhedsfolkene og holder øje med angreb og håber på, at Microsoft udgiver en sikkerhedsopdatering inden længe."

Microsoft udgiver dog sjældent en hasteopdatering uden for den normale opdateringscyklus med én gang om måneden. Microsofts kriterier for at gøre det tæller blandt andet, om der er angreb i omløb, der udnytter sårbarheden, og om antallet af sådanne eventuelle angreb når op over en vis tærskel.

Sidste gang Microsoft udgav en sådan nødopdatering uden for skema var i slutningen af 2011, da selskabet i al hast rettede en fejl, der kunne udnyttes af hackere til at lamme webservere.

Microsofts næste planmæssige frigivelse af sikkerhedsopdateringer sker tirsdag 14. august.

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




IT-JOB

Se flere it-job hos

 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Dibs Payment Services A/S
Betalingssystemer til e-handel og detailhandel.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2015 - digital innovation

Computerworld Summit giver dig internationale keynotes, diskussioner, oplæg, netværk og debat om innovation, kompleksitet og sikkerhed i it-afdelingen - sammen med 500 andre danske it-professionelle. Læs mere

SAS Radisson Blu Scandinavia - 2300 København S



Enterprise Content Management - få styr på data-junglen i din virksomhed

De fleste virksomheder genererer i stigende omfang store mængder data fra et stadig voksende antal kilder. Kom til dette How To og hør om gevinsterne ved at få styr på virksomhedens dataflow med de bedste enterprise content management-systemer. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



Server/storage/virtualisering

Virksomhedernes forretningssystemer leverer data som aldrig før, og mængderne vokser i omfang. Det stiller krav til driftslaget om at kunne levere mere for samme budget, noget, det ikke er så nemt at opfylde med skyhøje priser på diske. Private og offentlige skyer giver nye muligheder og nye udfordringer. Og er der måske penge at spare ved at skifte virtualiseringsplatform? Hør om udfordringer og løsninger på Computerworlds How-To. Læs mere

Pfizers Konferencecenter - 2750 Ballerup







Computerworld
Vi skiftede ét stykke hardware - nu flyver fire år gammel computer som var den ny
Med tiden vil din computer føles, som var den fra det forrige århundrede. Men ved at skifte et bestemt stykke hardware, kan du sparke liv i den igen. Vi gjorde det med en Macbook Pro, og den føles nu som en helt anden computer.
CIO
Odense Kommune kunne ikke købe sig til it-løsning: Valgte i stedet at udvikle den selv
Der var ingen løsninger på markedet, og derfor valgte Odense Kommune at udvikle sin egen software-løsning. Her fortæller kommunen om erfaringerne med selv at udvikle software.
Comon
Skype-brugere raser: Hvorfor sniger Microsoft Bing og MSN med i installationen?
Når man installerer Skype, skal man være på dupperne, hvis man ikke ved samme lejlighed vil have Bing og MSN installeret. Det er langt fra alle Skype-brugere tilfredse med.
Channelworld
It-direktør tæller på knapperne: Skal jeg trække millionoverskud ud af mit firma?
Dansk hardware-forhandler har i de seneste 10 år tjent gode penge på salg af hardware. "Der er mange i branchen, der ikke synes, det er spor fancy at sælge en boks. Men der skal jo være en, der gør det."
White paper
Giv dine kunder personlige indkøbsoplevelser
Læs her hvordan du går i dialog med og får en bedre forståelse af detailkunderne og på den måde skaber personlige indkøbsoplevelser.