Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:S/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Microsoft Exchange
(Exchange Server 2007 SP3, Exchange Server 2010 SP2, Exchange Server 2010 SP3, Exchange Server 2013 CU2, Exchange Server 2013 CU3)
Microsoft Updates
(KB2880833, KB2903903, KB2903911, KB2905616, KB2917508, KB2986475, KB2996150, KB3030085, KB3049853)
Описание
Уязвимости существуют в Exchange Server и связаны с функцией веб-просмотра документов. Данные уязвимости позволяют удаленно выполнить код с правами учетной записи LocalService, если пользователь будет просматривать в браузере, при помощи Outlook Web Access, специально сформированный файл. Атакующий, использующий данную уязвимость, может выполнить код на целевом сервере Exchange Server, но только с правами LocalService. Учетная запись LocalService имеет минимум привилегий на локальном компьютере и анонимные учетные данные в сети.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/ms13-105
http://technet.microsoft.com/en-us/security/bulletin/ms13-105
Ссылки
MS (13-105): http://technet.microsoft.com/en-us/security/bulletin/ms13-105
Источник: CVE
Наименование: CVE-2013-5763
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5763
Источник: CVE
Наименование: CVE-2013-5791
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5791
Источник: CVE
Наименование: CVE-2013-5763
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5763
Источник: CVE
Наименование: CVE-2013-5791
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5791