Уязвимость утечки информации в Microsoft Exchange из-за возможности создания сущностей с отображаемыми именами, содержащими непечатные символы
Описание
Аутентифицированный злоумышленник способен эксплуатировать эту уязвимость, создавая сущности с некорректными отображаемыми именами, которые остаются невидимыми в переписке.
Условия эксплуатации
Злоумышленник должен быть авторизован в системе для создания сущностей с некорректными отображаемыми именами.
Решение
Обновление безопасности решает эту проблему, верифицируя отображаемые имена при их создании в Microsoft Exchange и корректно отображая некорректные имена в клиентах Microsoft Outlook.
Часто задаваемые вопросы (FAQ)
Какой тип информации может быть раскрыт из-за этой уязвимости?
Эта уязвимость раскрывает электронные переписки и чаты на не предназначенных получателей. Сущности, созданные посредством эксплуатации этой уязвимости, также могут получить доступ к документам через SharePoint.
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Нет, Окно предпросмотра не является вектором атаки.
Доступны ли обновления для Microsoft Office для Mac и Outlook для iOS?
Обновления безопасности для Microsoft Office 2016 для Mac, Microsoft Office 2019 для Mac и Outlook для iOS доступны не сразу. Обновления будут выпущены как можно скорее, и при их наличии клиенты будут уведомлены через пересмотр этой информации CVE.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Exchange Server 2010 Service Pack 3 | ||
| Microsoft Outlook 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Outlook 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2013 RT Service Pack 1 | ||
| Microsoft Lync 2013 Service Pack 1 (32-bit) | ||
| Microsoft Lync Basic 2013 Service Pack 1 (32-bit) | ||
| Microsoft Lync 2013 Service Pack 1 (64-bit) | ||
| Microsoft Lync Basic 2013 Service Pack 1 (64-bit) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
An information disclosure vulnerability exists when Exchange allows creation of entities with Display Names having non-printable characters. An authenticated attacker could exploit this vulnerability by creating entities with invalid display names, which, when added to conversations, remain invisible. This security update addresses the issue by validating display names upon creation in Microsoft Exchange, and by rendering invalid display names correctly in Microsoft Outlook clients., aka 'Microsoft Exchange Information Disclosure Vulnerability'.
An information disclosure vulnerability exists when Exchange allows creation of entities with Display Names having non-printable characters. An authenticated attacker could exploit this vulnerability by creating entities with invalid display names, which, when added to conversations, remain invisible. This security update addresses the issue by validating display names upon creation in Microsoft Exchange, and by rendering invalid display names correctly in Microsoft Outlook clients., aka 'Microsoft Exchange Information Disclosure Vulnerability'.
Уязвимость почтового сервера Microsoft Exchange Server, программ мгновенного обмена сообщениями Microsoft Lync и Skype for Business, почтового клиента Microsoft Outlook и Outlook for iOS, пакетов программ Microsoft Office и Office 365, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
Microsoft Exchange Server Remote Code Execution Vulnerability
Microsoft Exchange Server Remote Code Execution Vulnerability
EPSS