警惕！警惕微软Exchange这四个零日漏洞，微软现仍未修复

作者：小薯条 2023-11-06 12:10:28安全 漏洞 趋势科技披露微软Exchange中的个零四个零日漏洞，经过验证的日漏仍攻击者可远程利用这些漏洞在易受攻击的安装程序上执行任意代码或披露敏感信息。

近日，洞现趋势科技的修复零日计划（ZDI）披露了微软Exchange中的四个零日漏洞，经过验证的警惕攻击者可远程利用这些漏洞在易受攻击的安装程序上执行任意代码或披露敏感信息。

今年9月7日-8日，微软趋势科技的个零零日计划（ZDI）于向微软报告了这些漏洞。虽然微软方面承认存在这些漏洞，日漏仍但至今仍未修复。洞现

以下是修复ZDI披露的漏洞信息列表：

• ZDI-23-1578 - Microsoft Exchange ChainedSerializationBinder Deserialization of Untrusted Data 远端执行程序代码漏洞： 此漏洞允许远端攻击者在微软Exchange 安裝上执行任意代码。此漏洞存在于 ChainedSerializationBinder 中，警惕利用此漏洞需要进行身份验证。微软这个漏洞是个零由于缺乏对用户提供数据的适当验证，才导致出现了反序列化不受信任的数据。攻击者可利用此漏洞在 系统中执行代码。
• ZDI-23-1579 – Microsoft Exchange DownloadDataFromUri 服务器端请求伪造信息泄露漏洞 ：此漏洞可能导致远程攻击者泄露敏感信息。DownloadDataFromUri 中存在漏洞，利用此漏洞需要身份验证。导致这个漏洞的原因是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者可利用此漏洞泄露 Exchange 服务器信息。
• ZDI-23-1580– Microsoft Exchange DownloadDataFromOfficeMarketPlace 服务器端请求伪造信息泄露漏洞：此漏洞可能导致远程攻击者泄露敏感信息，利用此漏洞需要身份验证。DownloadDataFromOfficeMarketPlace 中存在漏洞。造成此漏洞的原因同样是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者仍可利用此漏洞泄露 Exchange 服务器信息。
• ZDI-23-1581– Microsoft Exchange CreateAttachmentFromUri 服务器端请求伪造信息泄露漏洞：CreateAttachmentFromUri中存在漏洞，利用此漏洞需要身份验证。该漏洞是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者可利用此漏洞泄露 Exchange 服务器信息。

这些漏洞是由 Trend Micro Zero Day Initiative 的 Piotr Bazydlo发现的。

责任编辑：赵宁宁 来源： FreeBuf.COM 零日漏洞漏洞

(责任编辑：百科)