Microsoft advarer om kritisk fejl i Exchange

Fejl i Oracle-kode har udløst en kritisk fejl i Exchange Server 2007 og Exchange Server 2010.

Annonce:
Annonce:
Computerworld News Service: Microsoft advarede i sidste uge it-administratorer om, at kritiske sårbarheder i kode licenseret fra Oracle kan give hackere adgang til systemer, der anvender Exchange Server 2007 og Exchange Server 2010.

Oracle lukkede disse sikkerhedshuller i sine Oracle Outside In-biblioteker som del af en massiv opdatering 17. juli, der rettede næsten 90 fejl i selskabets databasesoftware.

Exchange samt Microsofts FAST Search Server 2010 til SharePoint bruger Oracle Outside In-bibliotekerne til at vise vedhæftede filer i browseren frem for at åbne den i et lokalt installeret program såsom Microsoft Word. Sårbarhederne befinder sig i den kode, der parser de vedhæftede filer.

"En angriber, som med succes har udnyttet disse sårbarheder, kan køre arbitrær kode under den proces, der foretager parsing af de særligt oprettede filer," advarer Microsoft i en sikkerhedsmeddelelse, der blev offentliggjort i sidste uge.
 
Ingen angreb endnu
Et succesfuldt angreb mod en Exchange-server kan gøre det muligt for hackere at "installere programmer; vise, ændre eller slette data; eller foretage sig hvad som helst andet som denne serverproces har adgang til at gøre."

Microsoft nedtonede dog risikoen ved andetsteds at fremhæve, at selskabet endnu ikke havde iagttaget nogen faktiske angreb.

Indtil sårbarheden lukkes med en sikkerhedsopdatering - Microsoft arbejder på sagen men har ikke oplyst nogen tidshorisont - anbefales det på selskabets Security Research & Defense-blog og i sikkerhedsmeddelelsen, at man som it-administrator midlertidigt slår de Exchange Server- og FAST Search Server-funktioner fra, som er afhængige af Oracle Outside In-biblioteker.

"Man er nødt til selv at evaluere risikoen og afgøre, om det er nødvendigt at implementere disse forholdsregler," råder Andrew Storms, der er director of security operations hos nCircle Security, i et interview i sidste uge. "I mellemtiden sidder sikkerhedsfolkene og holder øje med angreb og håber på, at Microsoft udgiver en sikkerhedsopdatering inden længe."

Microsoft udgiver dog sjældent en hasteopdatering uden for den normale opdateringscyklus med én gang om måneden. Microsofts kriterier for at gøre det tæller blandt andet, om der er angreb i omløb, der udnytter sårbarheden, og om antallet af sådanne eventuelle angreb når op over en vis tærskel.

Sidste gang Microsoft udgav en sådan nødopdatering uden for skema var i slutningen af 2011, da selskabet i al hast rettede en fejl, der kunne udnyttes af hackere til at lamme webservere.

Microsofts næste planmæssige frigivelse af sikkerhedsopdateringer sker tirsdag 14. august.

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TDC Hosting A/S
Skal din virksomhed med i Guiden? Klik her

White papers
I dette white paper kan du læse en teknisk evaluering af en ny og revolutionerende arkitektur...

I dette white paper kan du læse om Software AG's unikke tilgang til Intelligent Business...

I dette white paper kan du læse om de centrale egenskaber ved intelligente forretningsprocesser,...

 
Kommende events
IT Service Management (ITSM)

It service management kan leveres af egen it-organisation eller ved at søge hjælp hos en ekstern partner. På dette event bliver du klogere på mulighederne og udfordringerne - og får lejlighed til at netværke og søge inspiration hos ligesindede. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



Datasikkerhed

På Computerworlds Datasikkerhedsevent kan du blive klædt på over for sikkerhedsproblemer både internt og eksternt. Lær hvordan du får en god sikkerheds-"awareness" i virksomheden, hvordan du bedst kan håndtere adgang til følsomme data, når dine medarbejdere er uden for virksomheden, og hør hvilke muligheder du har, for at gøre din virksomheds værdier og viden så sikker som muligt. Læs mere

Park Inn by Radisson - 2300 København S



Customer Relationship Management (CRM)

It-løsninger til kundehåndtering eller CRM er stort set blevet en standard i danske virksomheder. Fra udvidede kundekartoteker til egentlige call center applikationer. I de seneste år er der kommet nye web-baserede løsninger i markedet, og valget står i dag ikke blot mellem et stort antal leverandører og løsninger, men også mellem forskellige platforme. Læs mere

Pfizers Konferencecenter - 2750 Ballerup







Computerworld
På vejen hjem fra lufthavnen opdager jeg at min telefon via Bluetooth prøver at forbinde med min bil - og Bluetooth har aldrig været aktiveret på den telefon
På vejen hjem fra lufthavnen opdager jeg at min telefon via Bluetooth prøver at forbinde med min bil - og Bluetooth har aldrig været aktiveret på den telefon
CIO
Skat sparer 100 millioner kroner med ny it-indkøbs-politik: Så enkelt kan det gøres
Med en spritny udbudsfabrik har Skat præsteret at spare 100 millioner kroner på it-driftsudbud. Læs her, hvordan Skat har strømlinet sine udbudsproces.
Comon
Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Channelworld
Faneflugt blandt Microsofts danske partnere: Fylder hylderne med Microsoft-rivalers produkter
Massevis af danske forhandlere af Microsofts klassiske økonomisystem C5 er begyndt at fylde hylderne med produkter fra Microsofts rivaler. "Det virker som om, at Microsoft mere eller mindre frivilligt giver slip på kunderne i den lave ende af markedet," lyder det fra direktør.
White paper
It-modernisering og økonomi
Automatiserede værktøjer fra BluePhoenix hælper dig til at holde de økonomiske tøjler ved it-moderniseringsprojektet.