Microsoft Exchange Server xavfli zaifliklarni tuzatmoqda
Zaifliklardan biri kodni masofadan turib bajarishga imkon beradi.
Microsoft Microsoft Exchange Server 2019, 2016 va 2013-yillardagi masofadan turib kodni bajarish va ma’lumotlarni oshkor qilishga imkon beradigan ikkita zaiflikni tuzatdi. Xavfsizlik bo’yicha maslahatga ko’ra, masofadan turib kodni bajarish zaifligi (CVE-2019-0586) Exchange Server tomonidan xotiradagi obyektlarni noto’g’ri ishlatish natijasida yuzaga keladi. Ushbu zaiflikdan muvaffaqiyatli foydalanish tajovuzkorga tizim foydalanuvchisi kontekstida kodni ishga tushirish, shu bilan dasturiy ta’minotni o’rnatish, ma’lumotlarni ko’rish, o’zgartirish va o’chirish hamda yangi hisoblar yaratish imkonini beradi.
Zaiflikdan foydalanish uchun tajovuzkor zaif serverga maxsus sozlangan elektron pochta xabarini yuborishi kerak. Muammo yetkazib beruvchi tomonidan obyektlarni xotirada qayta ishlash usulini o’zgartirish orqali tuzatildi.
Ma’lumotlarni oshkor qilishdagi zaiflik (CVE-2019-0588) PowerShell server API’si taqvimga zarur bo’lganidan ko’proq ruxsat berishidan kelib chiqadi. Ushbu zaiflikdan foydalanish uchun tajovuzkor PowerShell orqali taqvimga administrator kirish huquqini olishi kerak. Bu odatda yashirin bo’lgan taqvim ma’lumotlarini fosh qiladi.
Ikkala zaiflikni ham tuzatuvchi xavfsizlik yangilanishlari ishlab chiqaruvchi tomonidan «muhim» deb baholanadi. Ular Windows Update orqali avtomatik ravishda o’rnatilishi yoki Microsoft veb-saytidan qo’lda yuklab olinishi mumkin.
