TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2015-03-10
標題	Microsoft 資訊安全公告 MS15-026 - 重要
CVE	CVE-2015-1631
BID
影響平台	對於所有受支援版本的 Microsoft Exchange Server 2013，此資訊安全更新的等級為「重要」
說明	此安全性更新可解決 Microsoft Exchange Server 中的資訊安全風險。如果使用者點選會將使用者帶到目標 Outlook Web App 網站之蓄意製作的 URL，則最嚴重的資訊安全風險可能會允許權限提高。攻擊者並不能強迫使用者造訪蓄意製作的網站，而是引誘使用者自行前往。一般的做法是設法讓使用者點選即時訊息或電子郵件訊息中連往攻擊者網站的連結，然後引誘他們點選蓄意製作的 URL。此安全性更新可修正 Exchange Server 清理 Outlook Web App 中頁面內容的方式，及修正 Exchange 在 Exchange 行事曆中接受、排程或修改會議要求時驗證會議召集人身分的方式，進而解決這些資訊安全風險
解決方式	大部分客戶都已啟用自動更新，並且不必須採取任何行動，因為資訊安全更新將自動下載和安裝。對於沒有啟用自動更新的客戶，可採取開啟或關閉自動更新中的步驟來啟用自動更新。
相關資訊連結	https://technet.microsoft.com/zh-TW/library/security/ms15-026.aspx
相關修正資訊連結	https://technet.microsoft.com/zh-TW/library/security/ms15-026.aspx