2018-2054: Microsoft Exchange Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2018-10-10 13:04)

Neues Advisory

Version 2 (2018-10-18 15:43)

Microsoft informiert über die Veröffentlichung des 'Cumulative Update 11 for Exchange Server 2016' (KB4134118) zur vollständigen Behebung der Schwachstelle CVE-2010-3190 für Microsoft Exchange Server 2016.

Betroffene Software

Middleware
Netzwerk

Betroffene Plattformen

Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer auf verschiedene Art und Weise das Ausführen beliebigen Programmcodes, das Ausspähen sensitiver Informationen und die Darstellung falscher Informationen. Die Angriffe sind beispielsweise durch eine Email mit schädlichen Inhalten an den Server, einem schädlichen eingebetteten Skript oder einem Link in einer E-Mail oder Chat-Nachricht möglich, auf den ein Benutzer klicken muss.

Im Rahmen des aktuellen Microsoft-Patchtages werden Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung gestellt. Microsoft klassifiziert zwei der Schwachstellen als kritisch. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Exchange Server' identifiziert werden.

Schwachstellen:

CVE-2010-3190

Schwachstelle in Microsoft Foundation Classes (MFC) ermöglicht Ausführung von Programmcode

CVE-2018-8265

Schwachstelle in Microsoft Exchange Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2018-8448

Schwachstelle in Microsoft Exchange Server ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.