Exchange-Server – Microsoft zieht Update zurück
Das Update für Exchange Server 10 hatte bei einigen Anwendern die Verbindung mit den Outlook-Client unterbrochen. Microsoft hatte das entsprechende Update bereits im November verschoben. Über das Leck können Angreifer Nutzerrechte ausweiten.
Ein am Dienstag veröffentlichtes Sicherheitsupdate für Exchange Server hat Microsoft wieder zurückgezogen. Allerdings ist lediglich Exchange Server 2010 Service Pack 3 Update Rollup 8 davon betroffen. Die Patches für die Exchange-Versionen 2007 und 2013 sowie die Sprachpakete für Exchange Server 2013 Unified Messaging sollen laut Microsoft wie geplant Funktionieren.
Nutzer hatten sich beschwert, dass nach der Installation des Updates keine Verbindung zwischen Outlook-Client und Exchange Server mehr herzustellen war. Microsoft hat daher das Update aus dem Download-Center entfernt und auch die Verteilung über Windows Update eingestellt. Der Hersteller rät Nutzern, das Update zu deinstallieren. Dann sollte auch die Verbindung zwischen Outlook und Exchange wieder möglich sein.
Den Patch MS14-075 stuft Microsoft als ‘wichtig’ ein. Er behebt insgesamt vier Anfälligkeiten, die unter anderem eine unautorisierte Erweiterung von Nutzerrechten ermöglichen. Ein Angreifer muss das Opfer dazu verleiten, auf eine speziell gestaltete URL zu klicken, die zu einer Outlook-Web-App-Website führt. Einige der Schwachstellen lassen sich aber auch für Spoofing-Attacken nutzen, da die Outlook Web App unter Umständen Anforderungstokens nicht korrekt überprüft.
Microsoft hatte diesen Exchange-Patch schon für den November-Patchday angekündigt hatte. Am 11. November hielt es jedoch zwei Sicherheitsupdates ohne Angabe von Gründen zurück, darunter auch das Exchange-Update. Den Patch für eine Zero-Day-Lücke in Windows hatte der Hersteller am 18. November nachgereicht.
Microsoft hat in den vergangenen Monaten mehrfach fehlerhafte Updates zurückgezogen. Im September waren beispielsweise Lync Server und OneDrive for Business betroffen. Im August waren zudem eine Sicherheitsaktualisierung und mehrere nicht sicherheitsrelevante Updates zunächst entfernt und später neue veröffentlicht worden.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de