Microsoft advarer om kritisk fejl i Exchange

Fejl i Oracle-kode har udløst en kritisk fejl i Exchange Server 2007 og Exchange Server 2010.

Computerworld News Service: Microsoft advarede i sidste uge it-administratorer om, at kritiske sårbarheder i kode licenseret fra Oracle kan give hackere adgang til systemer, der anvender Exchange Server 2007 og Exchange Server 2010.

Oracle lukkede disse sikkerhedshuller i sine Oracle Outside In-biblioteker som del af en massiv opdatering 17. juli, der rettede næsten 90 fejl i selskabets databasesoftware.

Exchange samt Microsofts FAST Search Server 2010 til SharePoint bruger Oracle Outside In-bibliotekerne til at vise vedhæftede filer i browseren frem for at åbne den i et lokalt installeret program såsom Microsoft Word. Sårbarhederne befinder sig i den kode, der parser de vedhæftede filer.

"En angriber, som med succes har udnyttet disse sårbarheder, kan køre arbitrær kode under den proces, der foretager parsing af de særligt oprettede filer," advarer Microsoft i en sikkerhedsmeddelelse, der blev offentliggjort i sidste uge.
 
Ingen angreb endnu
Et succesfuldt angreb mod en Exchange-server kan gøre det muligt for hackere at "installere programmer; vise, ændre eller slette data; eller foretage sig hvad som helst andet som denne serverproces har adgang til at gøre."

Microsoft nedtonede dog risikoen ved andetsteds at fremhæve, at selskabet endnu ikke havde iagttaget nogen faktiske angreb.

Indtil sårbarheden lukkes med en sikkerhedsopdatering - Microsoft arbejder på sagen men har ikke oplyst nogen tidshorisont - anbefales det på selskabets Security Research & Defense-blog og i sikkerhedsmeddelelsen, at man som it-administrator midlertidigt slår de Exchange Server- og FAST Search Server-funktioner fra, som er afhængige af Oracle Outside In-biblioteker.

"Man er nødt til selv at evaluere risikoen og afgøre, om det er nødvendigt at implementere disse forholdsregler," råder Andrew Storms, der er director of security operations hos nCircle Security, i et interview i sidste uge. "I mellemtiden sidder sikkerhedsfolkene og holder øje med angreb og håber på, at Microsoft udgiver en sikkerhedsopdatering inden længe."

Microsoft udgiver dog sjældent en hasteopdatering uden for den normale opdateringscyklus med én gang om måneden. Microsofts kriterier for at gøre det tæller blandt andet, om der er angreb i omløb, der udnytter sårbarheden, og om antallet af sådanne eventuelle angreb når op over en vis tærskel.

Sidste gang Microsoft udgav en sådan nødopdatering uden for skema var i slutningen af 2011, da selskabet i al hast rettede en fejl, der kunne udnyttes af hackere til at lamme webservere.

Microsofts næste planmæssige frigivelse af sikkerhedsopdateringer sker tirsdag 14. august.

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hosting og outsourcing: Find den rigtige model og leverandør

Hosting og outsourcing-markedet rummer utallige muligheder for at aflaste og effektivisere din virksomhed, så der kan fokuseres på kerneforretningen. Markedet er dog også kendetegnet ved mange og meget forskellige leverandører og leverance-modeller. På dette event giver vi dig et indblik i, hvordan hosting i 2017 kan blive en strategisk og praktisk hjælp for din virksomhed.

24. oktober 2017 | Læs mere


Gå hjem møde om machine learning: Kickstart dine machine learning-projekter

På dette gå hjem møde får du fra eksperter på området en introduktion til machine learning og de nye teknologiske og forretningsmæssige muligheder, det skaber. Kickstart dine machine learning-projekter ved at deltage i dette gå hjem møde

25. oktober 2017 | Læs mere


Sikkerhed i virksomheden: Sådan får du et bedre forsvar mod de mange trusler

Flere tusinde it-ledere meldte for nylig i en ny stor undersøgelse ud, at sikkerhedstruslen aldrig har været mere alvorlig. Det er dog langt fra kun de cyberkriminelle, der giver søvnløse nætter. Vi sætter fokus på sikkerhed i virksomheden i 2017.

31. oktober 2017 | Læs mere






CIO
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm"
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm. Først troede vi, at det bare ville blive en aften uden email, og at de ville fikse det i løbet af natten. Men næste morgen var der krisemøde, og vi fik at vide, at vi ville være nede i lang tid."
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
IBM’s Watson har gennemlæst 600 jobopslag, og snart kan der blive vendt op og ned på vores jobsøgning
Kunstig intelligens kan forandre den måde virksomheder rekrutterer på. Derfor har IBM netop gennemført et stort forsøg med Danmarks største erhvervsskole.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.