Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Actualización de seguridad para Microsoft Exchange Server (4013242)
Publicado: 14 de marzo de 2017
Versión: 1.0
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Exchange Outlook Web Access (OWA). La vulnerabilidad podría permitir la ejecución remota de código en Exchange Server si un atacante envía un correo electrónico con datos adjuntos especialmente diseñados a un servidor exchange vulnerable.
Esta actualización de seguridad se clasifica como Importante para Microsoft Exchange Server 2013 Service Pack 1, Actualización acumulativa de Microsoft Exchange Server 14 y Actualización acumulativa 3 de Microsoft Exchange Server 2016. Para obtener más información, consulte la sección Clasificación de gravedad de vulnerabilidad y software afectado.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo Microsoft Exchange valida las solicitudes web.
Para obtener más información sobre la vulnerabilidad, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 4013242.
Clasificaciones de gravedad de software y vulnerabilidad afectadas
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Las clasificaciones de gravedad indicadas para cada software afectado asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad y su impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de marzo.
| Microsoft Server Software | Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server: CVE-2017-0110 | Novedades reemplazado* |
|---|---|---|
| Microsoft Exchange Server 2013 Service Pack 1(4012178) | Elevación importante de privilegios | 3184736 en MS16-108 |
| Actualización acumulativa 14(4012178) de Microsoft Exchange Server 2013 | Elevación importante de privilegios | 3184736 en MS16-108 |
| Actualización acumulativa 3(4012178) de Microsoft Exchange Server 2016 | Elevación importante de privilegios | 3184736 en MS16-108 |
La columna Novedades Replaced muestra solo la actualización más reciente en cualquier cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (se proporciona información reemplazada de actualizaciones en la pestaña Detalles del paquete).
Información de vulnerabilidad
Vulnerabilidad de elevación de privilegios de Microsoft Exchange: CVE-2017-0110
Existe una vulnerabilidad de elevación de privilegios de la manera en que Microsoft Exchange Outlook Web Access (OWA) no puede controlar correctamente las solicitudes web. Para aprovechar la vulnerabilidad, un atacante que aprovechara correctamente esta vulnerabilidad podría, realizar ataques de inyección de contenido o script e intentar engañar al usuario para que revelara información confidencial.
Un atacante podría aprovechar la vulnerabilidad enviando un correo electrónico especialmente diseñado, que contiene un vínculo malintencionado, a un usuario. Como alternativa, un atacante podría usar un cliente de chat para diseñar socialmente a un usuario para hacer clic en el vínculo malintencionado.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo Microsoft Exchange valida las solicitudes web.
NOTA: Para que se aproveche esta vulnerabilidad, un usuario debe hacer clic en un vínculo diseñado malintencionadamente desde un atacante.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de elevación de privilegios de Microsoft Exchange | CVE-2017-0110 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (14 de marzo de 2017): Boletín publicado.
Página generada 2017-03-15 10:07-07:00.