Neues Sicherheitsleck in Exchange
Georgi Guninski, bulgarischer Bug-Jäger, entdeckt ein weiteres Sicherheitsrisiko in Microsoft Exchange.
28. März 2001
Der bekannte bulgarische Bug-Jäger Georgi Guninski hat einmal mehr ein Sicherheitsloch in Microsofts Exchange gefunden. Laut Medienberichten verkündete Guninski heute in einem Bericht, dass das Sicherheitsrisiko bestehe, wenn Microsofts Internet Explorer (IE), Internet Information Server (IIS) und Exchange 2000 miteinander arbeiten.
Der Report führt weiter aus, dass Microsofts OLE DB für Internet-Publishing, eine Schnittstelle zwischen Web und Datenbank, erlaube, über ein Scripting-Interface Zugang zu Objekten zu erhalten, die in IIS 5.0 oder im Speicher des Webservers gelagert sind und diese zu manipulieren. Hinzu kommt, dass, wenn IIS 5.0 in Kombination mit IE 5.0 oder höher verwendet wird, der Browser in der Grundeinstellung einem X-beliebigen Anwender Authentifizierung gibt, ohne diesen zu überprüfen.
Guninski, der das Leck als hohes Risiko klassifiziert, habe Microsoft darüber informiert. Die Redmonder verharmlosen das Problem aber wie gewohnt.
Der Report führt weiter aus, dass Microsofts OLE DB für Internet-Publishing, eine Schnittstelle zwischen Web und Datenbank, erlaube, über ein Scripting-Interface Zugang zu Objekten zu erhalten, die in IIS 5.0 oder im Speicher des Webservers gelagert sind und diese zu manipulieren. Hinzu kommt, dass, wenn IIS 5.0 in Kombination mit IE 5.0 oder höher verwendet wird, der Browser in der Grundeinstellung einem X-beliebigen Anwender Authentifizierung gibt, ohne diesen zu überprüfen.
Guninski, der das Leck als hohes Risiko klassifiziert, habe Microsoft darüber informiert. Die Redmonder verharmlosen das Problem aber wie gewohnt.
Artikel kommentieren
