Patch für Outlook-Schwachstelle: Outlook Access auf Exchange 5.5 Servern betroffen

Nur einen Tag, nachdem Microsoft mit dem Service Pack 2 für das Betriebssystem Windows XP das größte Sicherheitsupdate in der Firmengeschichte veröffentlicht hat, ist der monatliche Sicherheitsbericht mit nur einer Schwachstelle mittleren Schweregrads veröffentlicht worden. Diese betrifft den Mailserver Exchange 5.5. Microsoft empfiehlt die Installation des Patches oder die Deaktivierung des Webzugangs zum E-Mail.

Das Microsoft Security Bulletin MS04-026 für den August 2004 beschreibt eine Sicherheitslücke in der Weboberfläche (Outlook Web Access - OWA) des Mailservers Exchange 5.5 von Microsoft. Die beschriebene Standort übergreifende Scripting- und Spoofing-Sicherheitsanfälligkeit könnte es einem Angreifer ermöglichen, einen Benutzer zur Ausführung von gefährlichem Code zu verleiten. Dadurch könnte es einem Angreifer gelingen, auf beliebige Daten auf dem Server zuzugreifen, der dem jeweiligen Benutzer zugänglich ist.

Um das Problem schnell zu umgehen, empfiehlt Microsoft in seinem Sicherheitsbericht, den anonymen Zugriff auf Outlook Web Access nicht zuzulassen und die SSL-Verschlüsselung für die Verbindungen zu aktivieren bzw. die Web-Dienste des Exhange Servers komplett zu deaktivieren oder Outlook Web Access zu deinstallieren. Für den Exchange Server 5.5 mit Service Pack 4 hat das Unternehmen aus Redmond bereits einen Patch zur Verfügung gestellt, der das Problem behebt.

Neuere Versionen nicht betroffen
Ähnliche Sicherheitsprobleme treten auch immer wieder im Webbrowser "Internet Explorer" von Microsoft auf. In diesem Falls liegt das Problem aber auf der Seite des Servers, der Eingaben für eine HTML-Umleitungsabfrage nicht ordnungsgemäß überprüft, bevor sie an den Browser gesendet werden.

Der letzte derartige Fehler, den Microsoft vermeldete, stammte vom Oktober 2003. Neuere Versionen des Exchange Servers, wie der Exchange Server 2000 oder Exchange 2003 Server, sind von dem Problem nicht betroffen.

Microsoft Outlook Web Access ist ein Dienst des Microsoft Exchange Servers, mit dessen Hilfe Benutzer über einen Webbrowser auf ihr E-Mail-Postfach zugreifen können. Unter Verwendung von OWA kann ein Server, auf dem der Exchange Server ausgeführt wird, auch als Website fungieren, auf der autorisierte Benutzer E-Mails lesen oder verfassen, ihre Kalender verwalten oder andere Mailaktionen über das Internet durchführen können. (apa)