Microsoft advarer om kritisk fejl i Exchange

Fejl i Oracle-kode har udløst en kritisk fejl i Exchange Server 2007 og Exchange Server 2010.

Computerworld News Service: Microsoft advarede i sidste uge it-administratorer om, at kritiske sårbarheder i kode licenseret fra Oracle kan give hackere adgang til systemer, der anvender Exchange Server 2007 og Exchange Server 2010.

Oracle lukkede disse sikkerhedshuller i sine Oracle Outside In-biblioteker som del af en massiv opdatering 17. juli, der rettede næsten 90 fejl i selskabets databasesoftware.

Exchange samt Microsofts FAST Search Server 2010 til SharePoint bruger Oracle Outside In-bibliotekerne til at vise vedhæftede filer i browseren frem for at åbne den i et lokalt installeret program såsom Microsoft Word. Sårbarhederne befinder sig i den kode, der parser de vedhæftede filer.

"En angriber, som med succes har udnyttet disse sårbarheder, kan køre arbitrær kode under den proces, der foretager parsing af de særligt oprettede filer," advarer Microsoft i en sikkerhedsmeddelelse, der blev offentliggjort i sidste uge.
 
Ingen angreb endnu
Et succesfuldt angreb mod en Exchange-server kan gøre det muligt for hackere at "installere programmer; vise, ændre eller slette data; eller foretage sig hvad som helst andet som denne serverproces har adgang til at gøre."

Microsoft nedtonede dog risikoen ved andetsteds at fremhæve, at selskabet endnu ikke havde iagttaget nogen faktiske angreb.

Indtil sårbarheden lukkes med en sikkerhedsopdatering - Microsoft arbejder på sagen men har ikke oplyst nogen tidshorisont - anbefales det på selskabets Security Research & Defense-blog og i sikkerhedsmeddelelsen, at man som it-administrator midlertidigt slår de Exchange Server- og FAST Search Server-funktioner fra, som er afhængige af Oracle Outside In-biblioteker.

"Man er nødt til selv at evaluere risikoen og afgøre, om det er nødvendigt at implementere disse forholdsregler," råder Andrew Storms, der er director of security operations hos nCircle Security, i et interview i sidste uge. "I mellemtiden sidder sikkerhedsfolkene og holder øje med angreb og håber på, at Microsoft udgiver en sikkerhedsopdatering inden længe."

Microsoft udgiver dog sjældent en hasteopdatering uden for den normale opdateringscyklus med én gang om måneden. Microsofts kriterier for at gøre det tæller blandt andet, om der er angreb i omløb, der udnytter sårbarheden, og om antallet af sådanne eventuelle angreb når op over en vis tærskel.

Sidste gang Microsoft udgav en sådan nødopdatering uden for skema var i slutningen af 2011, da selskabet i al hast rettede en fejl, der kunne udnyttes af hackere til at lamme webservere.

Microsofts næste planmæssige frigivelse af sikkerhedsopdateringer sker tirsdag 14. august.

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
AlfaPeople A/S
Salg, implementering, udvikling og support af software og it-løsninger inden for CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få mere fart på og kvalitet i udviklingsafdelingen med DevOps

Få indsigt i den populære DevOps-tankegang, der kendetegner den moderne it-organisation, hvor samarbejde og integration er nogle af nøgleordene. Kom og hør konkrete cases fra virksomheder, der arbejder efter DevOps og mød de førende leverandører, der fortæller, hvordan du kommer derhen, hvor udviklingsafdelingen kan understøtte den digitale innovation med de ideer og i det tempo, som der forventes.

30. maj 2017 | Læs mere


Dropbox partnerdag 2017

Det er en fornøjelse at præsentere en ny stor forretningsmulighed med Dropbox Business. På partnerdag får I indsigt i både kommercielle og tekniske aspekter ved at sælge Dropbox Business. Arrangementet henvender sig til både eksisterende Dropbox-forhandlere i Danmark og til jer, der leder efter nye forretningsmuligheder, og som overvejer at blive Dropbox-forhandler.

31. maj 2017 | Læs mere


Business intelligence - den nye bølge: Få styr på de nye løsninger og alle mulighederne

En ny bølge af af moderne BI-løsninger og -produkter skaber helt nye muligheder. Vi sætter fokus på den nye BI-bølge.

07. juni 2017 | Læs mere






CIO
Bliv klar til EU-persondataforordningen: Ministerium klar med længe ventet dansk vejledning til den nye EU-lov
Justitsministeriet er efter en måneds forsinkelse klar med den store vejledning til EU's kommende persondataforordning, der kommer til at få konsekvenser for alle danske virksomheder. Se vejledningen her.
Comon
Microsofts vilde - og hammerdyre - Surface Studio kommer til Danmark
Microsofts all-in-one-computer, Surface studio, kommer til Danmark midt i juni til en vild pris
Job & Karriere
Dansk it-firma masseansætter: Skal bruge 90 nye medarbejdere med disse it-profiler
It-virksomheden BEC skal bruge 90 nye it-medarbejdere. Her kan du se de konkrete it-profiler, BEC er på udkig efter.
White paper
Undgå de syv dødssynder i valget af ERP-partner
I dette whitepaper kan du læse mere om de syv hyppigste 'dødssynder' og om, hvordan du imødegår dem. Dette er nyttig viden at have med sig, uanset hvilken platform og partner din virksomhed i sidste ende vælger at satse på.