此安全更新可解决 Microsoft Exchange Server 中四个私下报告的漏洞。如果用户单击可将用户定向到目标 Outlook Web App 网站经特殊设计的 URL,则最严重的漏洞可能允许特权提升。但是,攻击者无法强迫用户访问这种经特殊设计的网站。相反,攻击者必须诱使用户访问该网站,所采用的方式通常是让用户单击电子邮件或 Instant Messenger 消息中指向攻击者网站的链接,然后诱使他们单击经特殊设计的 URL。
对于 Microsoft Exchange Server 2007、Microsoft Exchange Server 2010 和 Microsoft Exchange Server 2013 的所有受支持版本,此安全更新等级为“重要”。该安全更新通过确保 Outlook Web App 正确验证请求令牌并正确清理 URL 来解决这些漏洞。
有关此文档的详细信息,请参阅 Microsoft 知识库文章 3009712。
English Version
https://technet.microsoft.com/en-us/security/bulletin/ms14-075
简体中文版
https://technet.microsoft.com/zh-cn/security/bulletin/ms14-075
Responses to “MS14-075 Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3009712)”
Back Top
Leave a Reply